API / Option
secure
HTTPS 接続時のみ Cookie を送信するオプション。本番環境では必須のセキュリティ設定。
cookiehttpssecuritytls
所属:Cookie / Set-Cookie
代表的な値 / 使い方
secure: truesecure: process.env.NODE_ENV === 'production'
注意点 / Pitfalls
- ·SameSite=None を指定する場合は Secure も必須(ブラウザが Secure なしの SameSite=None を無視する)
- ·HTTP 環境(ローカル開発など)では Secure 付き Cookie が送信されないため動作確認しにくい
- ·localhost は一部ブラウザで例外扱いされるが、staging 環境が HTTP の場合は注意が必要
- ·secure: true のまま HTTP でデプロイするとログインできない(Cookie が送信されない)
一緒に使う項目
補足
本番環境では必ず true にする。ローカル開発と本番を切り替えるパターンとして `secure: process.env.NODE_ENV === 'production'` がよく使われる。SameSite=None と組み合わせる場合は必須。
関連ドキュメント
関連サンプル
同じテーマや技術スタックを使った実装例