AP過去問令和7年度春期午前問41

問41(問題文)

　cookieにSecure属性を設定しなかったときと比較した、設定したときのWeb ブラウザの動作として、適切なものはどれか。

ア　cookie に設定された有効期間を過ぎると、Webブラウザが cookieを無効であると判断する。

イ　URL内のスキームがhttpsのときだけ、Webブラウザからcookieが送出される。

ウ　WebブラウザがアクセスするURL内のパスとcookieに設定されたパスのプレフィックスがー致するときだけ、Web ブラウザから cookie が送出される。

エ　WebブラウザではJavaScriptによるcookieの読出しが禁止される。

アは❌間違いです。cookieに設定された有効期間を過ぎると、Webブラウザがcookieを無効であると判断する。

→この内容は有効期限属性(expiresやmax-age)に関するものであり、Secure属性とは関係ありません。Secure属性は通信の暗号化(https)の有無による送信可否に関係します。したがって、誤りです。

イは✅正しいです。URL内のスキームがhttpsのときだけ、Webブラウザからcookieが送出される。

→この選択肢が正解です。Secure属性が設定されたcookieは、暗号化通信(https)での接続時にのみWebブラウザからサーバへ送信されるという動作になります。これにより、盗聴や改ざんのリスクを低減することができます。

ウは❌間違いです。WebブラウザがアクセスするURL内のパスとcookieに設定されたパスのプレフィックスが一致するときだけ、Webブラウザからcookieが送出される。

→この内容はPath属性に関するものです。Path属性を設定することで、どのパス以下のリクエストに対してcookieを送信するかを制御できますが、Secure属性とは無関係です。したがって、誤りです。

エは❌間違いです。WebブラウザではJavaScriptによるcookieの読出しが禁止される。

→この内容は、Secure属性ではなくHttpOnly属性に関係しています。HttpOnly属性を付けることで、JavaScriptからのcookieの読み出しを防ぎ、クロスサイトスクリプティング(XSS)による盗み見を防止できます。したがって、誤りです。

　したがって

イ

　が答えです。