Webサイトでは、クライアントとサーバー間で情報を保持するセッション管理を行っています。Webサイトから買い物をするときに、商品を選ぶページから決済をするページに画面が切り替わります。セッション管理を行っていれば、ページが変わっても、クライアントの情報を保持できるのです。
セッション管理には、Cookieを用いられることが一般的です。
cookieは、WebサーバがSet-Cookieという指示を出して、ブラウザにユーザ情報などを保存します。
以下を見てください。
Set-Cookie:domain=example.com; session_id=uid20101017143045;secure;path=/874045/

Set-Cookieという指示で、session_idという情報をクライアントPCのブラウザに保持するように指示しています。クライアントはサーバに対してこのsession_idを提示することで、セッションを維持することができます。
cookie
もう少し詳しく解説します。
cookieは、Netscape社が開発しました。
過去問ではcookieに関して、「Webサーバに対するアクセスがどのPCからのものであるかを識別するために,Webサーバの指示によってブラウザにユーザ情報などを保存する仕組み(H19FE午前問36)」と述べられている。
Cookieには有効期限があり、有効期限がくるとブラウザから削除される。有効期限がないものは、無期限に使えるのではなく逆にブラウザを閉じると削除される。
Cookieに書き込む方法は、WebページにHTMLにて、Metaタグに記載する方法と、JavaScriptにてdocument.cookie=
で書く方法がある。

H22SC秋午後Ⅰ問3設問3(2)には、Set-Cookieヘッダの例が搭載されている
Set-Cookie:session_id=uid20101017143045;secure;path=/874045/
このsecureの意味は何か。

クッキーに関しては、たまに出題されます。
内容はそれほど難しくないため、理解しておくとよいでしょう。secureは、SSLの暗号化通信の場合にのみ、クッキー(Cookie)が送信されます。暗号化されていない場合は、盗み見られる可能性があるから、送信されない。

それぞれの意味は以下である。
・NAME:Cookieの名前
・expires:Cookieの有効期限。値を指定しない場合は、ブラウザを閉じた時点で有効期限が切れる。
・domain:Cookieを送るドメイン名。クライアント端末が次回Webサーバに接続した際に、ここで指定したドメインと一致した場合にCookieを送る。(例)seeeko.com
・path:ドメイン名に加えて、URLのパスを指定したい場合に指定する。(例)/cgi
・secure:暗号化された通信(HTTPS)の場合にのみCookieを送る。domain、pathが一致しても、HTTP通信の場合はCookieは送らない。

過去問(H27SC秋午前2)をもう一問見てみましょう。
問13 WebサーバがHTTPS通信の応答でCookieにSecure属性を設定したときのブラウザの処理はどれか。
ア ブラウザは,Cookieの“Secure="に続いて指定された時間を参照し,指定された時間を過ぎている場合にそのCookieを削除する。
イ ブラウザは,Cookieの“Secure="に続いて指定されたホスト名を参照し,指定されたホストにそのCookieを送信する。
ウ ブラウザは,Cookieの“Secure"を参照し,HTTPS 通信時だけそのCookieを送信する。
エ ブラウザは,Cookieの“Secure"を参照し,ブラウザの終了時にそのCookieを削除する。
正解はウです。

Cookieの場所と実際のCookie
Cookieは、Windows8.1の場合、隠しフォルダとして、以下にあります。

C:\Users\ユーザ名\AppData\Local\Microsoft\Windows\INetCache
ブラウザの「インターネットオプション」「全般」タブ「設定」「ファイルの表示」からも開くことができます。

実際のCookieのファイルは以下のようなものですが、利用者にはよくわからない情報です。
Website_cookie_data
203.0.113.124.2301262640211636
nw.seeeko.com/
1024
62517216
・・・・