勉強不足ですね。はい。
発端はセッションIDの話から。
A)セッションID、hiddenに入れてpostで渡せばいいんじゃないですか?
B)いや、Cookieの方がいいでしょ、hiddenだと漏れるよ
A)え、でもCookieにしたらxssで抜かれる可能性出てきちゃいません?
B)secure属性つければ平気じゃん
A)え、secure属性つけても通信経路暗号化されるだけで
ローカルPCの中には平文で入ってませんっけ??
B)大丈夫。XSSやるにしてもSSL上でよっぽど偽装したページを
作らなければsecure属性ついたCookieは抜けないから
こんな会話。
後で試してみよう。