cookieのsecureをtrueにする。
trueにした属性は、https以外の通信でcookieを送信しなくなる。
httpsとhttpの行き来がある様なサイトは、セッションIDなどをsecure属性にしないとセッションハイジャックされる可能性がある。
secure属性と直接関係はないが、ログイン前のセッションIDとログイン後のセッションIDは変更すべきである。
railsでsecureを有効にしたcookieの発行方法は以下となります。
cookies[:secure_cookie_name] = { :secure => true, value: 'nanika'}