Set-Cookie 的 secure 属性就是处理这方面的情况用的，它表示创建的 cookie 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证，如果是 HTTP 连接则不会传递该信息，所以绝对不会被窃听到。

当secure属性设置为true时，cookie只有在https协议下才能上传到服务器，而在http协议下是没法上传的，所以也不会被窃听。

简单实践一下，chrome浏览器打开https://www.baidu.com和http://www.baidu.com,分别打开控制台（下文称https页面中的控制台为console1，http的成为console2）

1. 先在console1中输入以下代码document.cookie = "name=EX;expires=60*24*7;secure=true"; 接着，打开Resources，就可以看到cookie中已经记录了相应的字段

2. 在console2中进行同样的操作，这时去看看http协议下百度页面的Resources，就会发现，name字段并没有上传到服务器。

3. 那如果我把secure设为false呢？

以本文百度这个为例，设为false的结果就是无论你在哪个协议下的百度页面设cookie，那么两边的百度页面的cookie中都可以看到该字段。

也就实现了cookie的跨协议传递，但同时就存在了一定几率的被窃听的风险。