Pro zabezpečení cookies máme několik možností. První je přidat příznak „Http-Only“, který zajistí, že přístup k této cookies bude možný pouze přes požadavek http, resp. https. Například Javascript se k takto označeným cookies nedostane.
Dalším možným příznakem je „secure“. Cookies jsou pak zasílány pouze přes zabezpečenou komunikaci a nelze je odchytit v „čistém textu“ požadavku nebo odpovědi. Pokud je zasíláno cookies s příznakem secure přes nezabezpečené spojení, měl by server nahlásit chybu.
Cookies lze i podepisovat. Například u Koa Node.js můžete použít tento kód:
app.keys = new KeyGrip(['im a newer secret', 'i like turtle'], 'sha256');
Cookies je pak podepsána rotačním klíčem uloženým v předaném poli řetězců pomocí sha256. Zkusil jsem klíč v prohlížeči vymazat a prohlížeč (Edge a Chrome) pak správně cookies ignorovali, jakoby neexistovala.