logo
GeekFormat

Parser nagłówków Set-Cookie

Set-Cookie Parser

Wklej wieloliniowe nagłówki odpowiedzi Set-Cookie, aby sprawdzić atrybuty i oznaczyć ryzykowne kombinacje SameSite / Secure.

Karty atrybutów plików Cookie

2 Set-Cookie
#1sessionabc123
path/
httponly(flaga)
secure(flaga)
samesiteLax
Nie znaleziono widocznych problemów z atrybutami
#2preview1
max-age600 (10m 0s)

setCookieParser.attr.maxAgeHint

samesiteNone
secure(flaga)
setCookieParser.warn.missingHttpOnlysetCookieParser.warn.missingPath

Podgląd JSON

[
  {
    "index": 0,
    "raw": "session=abc123; Path=/; HttpOnly; Secure; SameSite=Lax",
    "name": "session",
    "value": "abc123",
    "decodedValue": "abc123",
    "attributes": [
      {
        "key": "path",
        "value": "/"
      },
      {
        "key": "httponly",
        "value": null
      },
      {
        "key": "secure",
        "value": null
      },
      {
        "key": "samesite",
        "value": "Lax"
      }
    ],
    "attributeMap": {
      "path": "/",
      "httponly": true,
      "secure": true,
      "samesite": "Lax"
    },
    "warnings": []
  },
  {
    "index": 1,
    "raw": "preview=1; Max-Age=600; SameSite=None; Secure",
    "name": "preview",
    "value": "1",
    "decodedValue": "1",
    "attributes": [
      {
        "key": "max-age",
        "value": "600"
      },
      {
        "key": "samesite",
        "value": "None"
      },
      {
        "key": "secure",
        "value": null
      }
    ],
    "attributeMap": {
      "max-age": "600",
      "samesite": "None",
      "secure": true
    },
    "warnings": [
      "warn.missingHttpOnly",
      "warn.missingPath"
    ]
  }
]

Wklej nagłówek Set-Cookie i od razu dowiedz się, dlaczego przeglądarka nie akceptuje Twojego pliku Cookie.

Powiązane Rekomendacje

Przypadki użycia

  • Gdy przeglądarka odmawia zapisania pliku Cookie, szybko ustal, czy jest to problem z polityką SameSite, brakująca flaga Secure lub niezgodność Path/Domain
  • W scenariuszach logowania firm trzecich/SSO/osadzania w iframe, gdzie pliki Cookie są blokowane przez przeglądarkę, sprawdź, czy SameSite=None jest poprawnie połączony z Secure
  • Podczas audytów bezpieczeństwa sprawdzaj wsadowo, czy wszystkie pliki Cookie zwracane przez API mają ustawiony HttpOnly, aby zapobiec kradzieży przez XSS, oraz czy jest ustawiony Secure, aby zapobiec transmisji otwartym tekstem przez HTTP
  • Podczas używania plików Cookie z prefiksami __Host-/__Secure-, sprawdzaj, czy spełniają one obowiązkowe wymagania RFC 6265bis, aby uniknąć ich cichego odrzucenia przez przeglądarkę
  • Podczas debugowania rozwiązania partycjonowania plików Cookie firm trzecich CHIPS (Partitioned Cookie), upewnij się, że Partitioned i Secure są zadeklarowane razem
  • Podczas ustawiania Max-Age/Expires na serwerze potwierdź, że wartości są prawidłowe, aby uniknąć natychmiastowego wygaśnięcia pliku Cookie z powodu przesunięcia zegara lub Max-Age=0
  • Porównuj różnice w nagłówkach Set-Cookie między środowiskami (rozwój/test/produkcja), aby diagnozować dziwne problemy, w których pliki Cookie działają w rozwoju, ale znikają w produkcji
  • Kopiuj całe bloki nagłówków odpowiedzi z DevTools lub curl bez konieczności ręcznego usuwania prefiksu Set-Cookie: — narzędzie automatycznie go identyfikuje i usuwa
  • Podczas pisania dokumentacji API lub debugowania błędów związanych z żądaniami WASM/WebWorker, wklej przeanalizowany wynik JSON bezpośrednio do dokumentacji, aby zilustrować strukturę pliku Cookie

Funkcje

  • Niezależna analiza wielu plików Cookie: każdy wiersz Set-Cookie staje się oddzielną kartą z numeracją, pokazującą nazwę, wartość i wartość zdekodowaną URL, dzięki czemu od razu widać, który plik Cookie ma problemy
  • 14 kontroli bezpieczeństwa atrybutów: automatycznie identyfikuje typowe błędy, takie jak SameSite=None bez Secure, nieprawidłowa wartość SameSite, Partitioned bez Secure, brak HttpOnly, brak Path, brak SameSite, naruszenie prefiksu __Host-, __Secure- bez Secure, nieprawidłowy/zerowy Max-Age, Domain zaczynający się od kropki, Expires bez Max-Age itp.
  • Pełne szczegóły wszystkich atrybutów: SameSite, Secure, HttpOnly, Path, Domain, Expires, Max-Age, Partitioned wymienione punkt po punkcie, z atrybutami flagowymi i atrybutami z wartością wyraźnie rozróżnionymi
  • Automatyczne przeliczanie Max-Age: konwertuje sekundy na czytelny czas (dni/godziny/minuty/sekundy), na przykład Max-Age=2592000 jest wyświetlane jako 30d
  • Automatyczne wyświetlanie wartości zdekodowanej URL: gdy wartość pliku Cookie zawiera kodowanie %XX, automatycznie wyświetla zdekodowany oryginalny tekst (np. sessionID%3Dabc → sessionID=abc), oznaczone zieloną strzałką
  • Sprawdzanie prefiksów RFC 6265bis: rygorystycznie sprawdza wymagania zgodności dla plików Cookie z prefiksami __Host- i __Secure-, w tym Path=/, zakaz Domain i wymagany Secure
  • Kopiowanie oryginalnych nagłówków jednym kliknięciem: kopiuje wszystkie przeanalizowane oryginalne wiersze plików Cookie naraz, co ułatwia wklejanie do wiadomości e-mail, problemów (issues) lub dokumentów w celu udostępnienia zespołowi
  • Podgląd strukturalnego JSON: wyniki analizy obsługują wyjście w formacie JSON z pełnymi polami name/value/decodedValue/attributes/attributeMap/warnings, nadającymi się do bezpośredniego użycia w skryptach i przypadkach testowych
  • W pełni lokalne przetwarzanie: zawartość Set-Cookie jest analizowana lokalnie w przeglądarce, bez wysyłania na żadne serwery, co zapobiega wyciekowi wrażliwych danych Session, Token i innych informacji
  • Inteligentne odznaki ostrzeżeń: każdy problem jest oznaczony pomarańczową odznaką ostrzeżenia wskazującą konkretną przyczynę, bez konieczności sprawdzania dokumentacji RFC punkt po punkcie
  • Wsadowe wprowadzanie z wielu wierszy: wklej od razu cały blok nagłówków odpowiedzi (np. skopiowany z panelu Network w Chrome DevTools), automatycznie usuwa prefiks Set-Cookie: i analizuje wiersz po wierszu
  • Obsługa wartości w cudzysłowach i ze średnikami: poprawnie przetwarza wartości plików Cookie w podwójnych cudzysłowach i średniki w datach Expires zgodnie ze specyfikacją RFC, bez błędnego podziału

Jak Używać

  1. Otwórz panel Network w DevTools przeglądarki, znajdź docelowe żądanie i skopiuj zawartość Set-Cookie w obszarze Response Headers (obsługuje wiele wierszy, kopiuj wszystkie pliki Cookie naraz)
  2. Wklej skopiowane nagłówki odpowiedzi Set-Cookie do obszaru wprowadzania, po jednym pliku Cookie na wiersz (nie trzeba ręcznie usuwać prefiksu Set-Cookie:, narzędzie usunie go automatycznie)
  3. Narzędzie analizuje w czasie rzeczywistym: u góry wyświetla liczbę rozpoznanych Set-Cookie, na dole każdy plik Cookie jest prezentowany jako oddzielna karta atrybutów
  4. Nagłówek karty wyświetla numer, nazwę pliku Cookie i surową wartość; jeśli wartość zawiera kodowanie URL, wartość zdekodowana zostanie wyświetlona po zielonej strzałce
  5. Treść karty przedstawia atrybuty punkt po punkcie: SameSite, Secure, HttpOnly, Path, Domain, Max-Age, Expires, Partitioned itp. Max-Age automatycznie zawiera przeliczenie na czytelny czas w nawiasach
  6. Na dole karty wyświetlany jest wynik sprawdzania: pomarańczowe odznaki ostrzeżeń oznaczają konkretne problemy (każdy problem ma jasne wyjaśnienie po polsku), zielone odznaki oznaczają, że nie wykryto widocznych problemów
  7. Gdy musisz porównać z konfiguracją serwera, kliknij «Kopiuj oryginalne nagłówki», aby skopiować wszystkie oryginalne wiersze Set-Cookie; do przetwarzania programowego zapoznaj się z «Podglądem JSON»

Często Zadawane Pytania

Dlaczego nagłówek Set-Cookie został pomyślnie ustawiony, ale przeglądarka nie zapisała mojego pliku Cookie?

Jest to najczęstszy problem: przeglądarka nie zgłasza aktywnie błędu, tylko po cichu odrzuca pliki Cookie niezgodne z wymaganiami. Typowe przyczyny to: SameSite=None bez Secure, plik Secure Cookie ustawiany ze strony HTTP (z wyjątkiem localhost), prefiksy __Host-/__Secure- nie spełniają ograniczeń, niezgodność Domain/Path, przekroczony limit 4 KB, Max-Age wynosi 0 lub jest ujemny. Zaleca się najpierw wkleić Set-Cookie do tego narzędzia, aby zlokalizować konkretną przyczynę za pomocą odznak ostrzeżeń, a następnie otworzyć Chrome DevTools → Application → Cookies, sprawdzić pod odpowiednią domeną, czy jest żółty trójkąt ostrzeżenia — po najechaniu kursorem zobaczysz konkretną przyczynę odrzucenia.

Jaka jest dokładna różnica między Strict, Lax i None w SameSite? Kiedy używać której wartości?

Strict całkowicie zabrania wysyłania cross-site, jest najbezpieczniejszy, ale użytkownik będzie wyglądał na wylogowanego po kliknięciu linków z innych witryn, odpowiedni dla plików Cookie wrażliwych operacji, takich jak płatności/zmiana hasła. Lax to wartość domyślna w Chrome 80+, zezwala na wysyłanie podczas nawigacji GET najwyższego poziomu (kliknięcie linku z innej witryny powracającego do Twojej witryny), ale nie jest wysyłany w podzasobach, takich jak iframe/img/script/XHR/formularze POST, i jest zalecaną wartością dla większości scenariuszy. None zezwala na wysyłanie we wszystkich scenariuszach cross-site (używany do jednokrotnego logowania SSO, osadzeń firm trzecich w iframe, wywołań API cross-site), ale wymaga jednoczesnego ustawienia Secure, w przeciwnym razie przeglądarka odrzuca bezpośrednio.

Dlaczego SameSite=None musi być połączony z Secure?

Jest to reguła wymuszona przez Chrome począwszy od wersji 80 (luty 2020), za którą poszły Firefox, Edge i Safari. Ponieważ SameSite=None jawnie zezwala na wysyłanie cross-site plików Cookie, atakujący mają łatwiejsze przeprowadzanie CSRF lub podsłuchiwania w scenariuszach cross-site, konieczne jest połączenie z Secure (szyfrowana transmisja HTTPS) w celu zmniejszenia ryzyk. Jeśli Twój plik Cookie SameSite=None jest ustawiany przez HTTP, przeglądarka go odrzuci bez zapisywania. To narzędzie wykrywa kombinację SameSite=None bez Secure i oznacza ją czerwonym ostrzeżeniem.

Czego używać: Max-Age czy Expires? Jaka jest różnica?

Preferuj Max-Age. Max-Age to czas względny (wygasa po N sekundach), nie jest zależny od zegara klienta, przeglądarka rozpoczyna odliczanie natychmiast po otrzymaniu; Expires to bezwzględny punkt w czasie, zależny od lokalnego czasu komputera użytkownika (jeśli użytkownik przestawi zegar na 1970, plik Cookie natychmiast wygaśnie). Gdy oba są obecne, Max-Age ma wyższy priorytet (jasno określone w RFC 6265). Jeśli żaden nie jest ustawiony, plik Cookie staje się «plikiem Cookie sesji», który wygasa po zamknięciu przeglądarki. To narzędzie podaje wskazówkę, gdy Expires jest ustawiony, a Max-Age nie, zalecając dodanie Max-Age. Uwaga: jednostka Max-Age to sekundy, a nie milisekundy.

Jaka jest różnica między Path=/ a nieustawieniem Path?

Path określa, w jakich ścieżkach URL przeglądarka będzie wysyłać ten plik Cookie w żądaniach. Gdy Path nie jest ustawiona, przeglądarka domyślnie używa «ścieżki adresu URL odpowiedzi bez ostatniego segmentu». Na przykład podczas ustawiania pliku Cookie z /api/user/login domyślna Path to /api/user/, więc żądania w ścieżce / i /order/ nie będą wysyłać tego pliku Cookie. Jawne ustawienie Path=/ sprawia, że plik Cookie obowiązuje dla całej witryny. Uwaga: dopasowywanie Path to dopasowywanie prefiksu — Path=/api będzie również pasować do /api/, /api/user, /api/v2/abc itp. Pliki Cookie z prefiksem __Host- bezwzględnie wymagają Path=/.

Jaka jest różnica między Domain z kropką na początku (np. .example.com) a bez kropki?

W nowoczesnych przeglądarkach (aktualne wersje Chrome, Firefox, Edge, Safari) obie opcje są już równoważne: obie sprawiają, że plik Cookie obowiązuje dla example.com i wszystkich jego poddomen (a.example.com, b.c.example.com). Kropka na początku była starą składnią z czasów RFC 2109 — RFC 6265 już określa, że początkowa kropka jest ignorowana. Jednak dla czytelności zaleca się pisanie bez kropki. To narzędzie podaje wskazówkę, gdy Domain ma początkową kropkę (nie jest to błąd, ale przestarzała składnia). Uwaga: gdy Domain nie jest ustawiony, plik Cookie obowiązuje tylko dla bieżącego hosta (poddomeny go nie otrzymują), po ustawieniu Domain zaczyna obowiązywać dla poddomen.

Co to są prefiksy __Host- i __Secure-? Czy można pracować bez prefiksów?

Są to prefiksy bezpieczeństwa nazw plików Cookie wprowadzone w RFC 6265bis w celu narzucenia surowych ograniczeń dla plików Cookie o wysokim bezpieczeństwie: gdy przeglądarka widzi, że nazwa pliku Cookie zaczyna się od __Host-, bezwzględnie wymaga ustawienia Secure, Path=/ i braku atrybutu Domain — jeśli jakikolwiek warunek nie jest spełniony, bezpośrednio odrzuca zapisanie; prefiks __Secure- wymaga ustawienia Secure, pozostałe atrybuty mogą być skonfigurowane. Praca bez prefiksów również jest możliwa (większość plików Cookie nie używa prefiksów), ale dla plików Cookie o wysokim bezpieczeństwie, takich jak identyfikatory sesji, tokeny autoryzacyjne, zdecydowanie zaleca się używanie prefiksu __Host-, ponieważ zapobiega atakom wstrzykiwania plików Cookie na poziomie poddomen/ścieżek. To narzędzie automatycznie sprawdza zgodność obu prefiksów.

Czy plik Cookie z HttpOnly jest naprawdę bezpieczny? Czy chroni przed XSS i CSRF?

HttpOnly uniemożliwia JavaScript odczytywanie wartości plików Cookie przez document.cookie, będąc ważną linią obrony do <strong>ograniczania kradzieży sesji przez XSS</strong>, ale nie jest cudownym lekarstwem: atakujący XSS nadal mogą wykonywać żądania w przeglądarce użytkownika (żądania automatycznie niosą plik Cookie) w celu wykonania akcji (to jest zakres CSRF); HttpOnly również nie broni przed atakami CSRF (wymagany jest SameSite lub CSRF Token). Tylko jednoczesne użycie trójki HttpOnly+Secure+SameSite=Lax/Strict zapewnia podstawowy poziom bezpieczeństwa. Wrażliwe pliki Cookie (session, JWT, access_token) muszą mieć HttpOnly, nie dawaj dostępu do nich JS front-endu bez konieczności. To narzędzie oznacza ostrzeżeniem pliki Cookie bez HttpOnly.

Co to jest plik Cookie Partitioned (CHIPS)? Kiedy należy go używać?

Partitioned to nowy atrybut wprowadzony przez Chrome w odpowiedzi na wycofywanie plików Cookie firm trzecich, o pełnej nazwie Cookies Having Independent Partitioned State (CHIPS). Tradycyjne pliki Cookie firm trzecich (np. te z reklam/usług osadzonych ustawiane w wielu witrynach) są współdzielone globalnie i mogą być używane do śledzenia użytkowników cross-site. Dzięki Partitioned przeglądarka przechowuje plik Cookie firmy trzeciej oddzielnie dla każdej witryny najwyższego poziomu: plik Cookie firmy trzeciej, który użytkownik widzi w Witrynie A, jest całkowicie niezależny od tego widzianego w Witrynie B i nie może współdzielić tożsamości cross-site. Scenariusze użycia: osadzone komponenty wideo/map/płatności, wtyczki czatu firm trzecich, SSO cross-site osadzone w iframe. Używanie Partitioned wymaga jednoczesnego ustawienia Secure, zalecane z prefiksem __Host-.

Ile maksymalnie może przechowywać jeden plik Cookie? Ile plików Cookie może być na jedną domenę?

Według RFC 6265 przeglądarki obsługują co najmniej 4096 bajtów na plik Cookie (w tym nazwę, wartość i atrybuty), a główne przeglądarki (Chrome/Firefox/Safari/Edge) przestrzegają tego limitu — zawartość przekraczająca limit jest obcinana lub odrzucana po cichu. Limity liczby różnią się w zależności od przeglądarki: Chrome ma około 180 na domenę, Firefox około 150, Safari około 600 (i podlega wpływowi 7-dniowej polityki czyszczenia ITP); po przekroczeniu przeglądarka usuwa najstarsze pliki Cookie zgodnie z polityką LRU. Zaleca się, aby pliki Cookie przechowywały tylko identyfikatory sesji, nie umieszczaj w plikach Cookie dużych ilości danych biznesowych (dane biznesowe umieszczaj w localStorage lub sesji serwerowej).

Czy narzędzie obsługuje kopiowanie Set-Cookie bezpośrednio z Chrome DevTools do analizy? Czy muszę ręcznie usuwać prefiks?

Pełna obsługa, bez konieczności ręcznego przetwarzania. Możesz kliknąć docelowe żądanie w panelu Network Chrome DevTools, kliknąć prawym przyciskiem myszy wartość Set-Cookie w obszarze Response Headers, aby bezpośrednio skopiować (dla wielu wierszy Ctrl/⌘+kliknięcie do wyboru wielokrotnego lub skopiuj cały blok) i wkleić do obszaru wprowadzania tego narzędzia. Narzędzie automatycznie usuwa prefiks Set-Cookie: z początku każdego wiersza (niewrażliwe na wielkość liter), automatycznie przetwarza białe znaki na początku/końcu wierszy, poprawnie obsługuje znaki specjalne, takie jak przecinki i średniki w datach Expires, a także poprawnie przetwarza wartości plików Cookie w podwójnych cudzysłowach.

Dlaczego chińskie lub specjalne znaki w wartościach plików Cookie przybierają postać %XX?

RFC 6265 wymaga, aby wartości plików Cookie używały tylko bezpiecznego podzbioru zestawu znaków ASCII i nie mogą bezpośrednio zawierać znaków nie-ASCII, spacji, przecinków, średników itp. Wiele frameworków serwerowych podczas ustawiania plików Cookie automatycznie wykonuje kodowanie URL (encodeURIComponent/Percent-encoding) znaków nie-ASCII. Przeglądarki również zachowują zakodowaną formę podczas zwracania. Gdy to narzędzie wykryje, że wartość zawiera kodowanie %XX, automatycznie wyświetla oryginalny tekst zdekodowany przez decodeURIComponent obok surowej wartości z zieloną strzałką, aby ułatwić przeglądanie rzeczywistej zawartości.

Jaka jest różnica między Set-Cookie a nagłówkiem żądania Cookie?

Są to nagłówki o zupełnie innych kierunkach: Set-Cookie to nagłówek odpowiedzi (serwer→przeglądarka), pojawia się tylko w odpowiedziach, może wystąpić wielokrotnie, za każdym razem ustawiając jeden plik Cookie z pełnymi atrybutami (Secure/HttpOnly/Path/Domain itp.); Cookie to nagłówek żądania (przeglądarka→serwer), pojawia się tylko raz na żądanie, zawierając wszystkie pary name=value plików Cookie pasujących do bieżącego zakresu w płaskiej formie (name1=v1; name2=v2), bez żadnych informacji o atrybutach. Oznacza to, że serwer nie może wiedzieć z żądania, czy dany plik Cookie ma ustawiony HttpOnly lub Secure — informacje o atrybutach są przechowywane przez przeglądarkę tylko podczas lokalnego przechowywania. Do analizy nagłówka Cookie w żądaniach użyj towarzyszącego <a href='/network/http-cookie-parser/'>Parsera nagłówka żądania Cookie</a>.

Dlaczego w Safari moje pliki Cookie znikają po kilku dniach?

Dzieje się tak za sprawą mechanizmu Inteligentnej Ochrony przed Śledzeniem Safari (ITP: Intelligent Tracking Prevention). Począwszy od ITP 2.1, jeśli użytkownik nie wchodzi w bezpośrednią interakcję z domeną przez 7 dni (to znaczy nie odwiedza bezpośrednio witryny tej domeny), Safari czyści wszystkie pliki Cookie i dane witryn pod tą domeną, niezależnie od tego, jak długi Max-Age/Expires są ustawione. Wpływa to najbardziej na osadzone usługi firm trzecich, podczas gdy pliki Cookie witryny głównej nie są dotknięte, o ile użytkownik nadal ją odwiedza. Ponadto ograniczenia Safari dotyczące plików Cookie firm trzecich są bardziej rygorystyczne niż w Chrome. Rozwiązania obejmują: używanie atrybutu Partitioned, żądanie uprawnień przez Storage Access API lub odnawianie pliku Cookie, gdy użytkownik odwiedza witrynę główną. Sekcja rozwiązywania problemów tego narzędzia zawiera bardziej szczegółowe wskazówki dotyczące debugowania w Safari.

Czy narzędzie obsługuje wsadową analizę wielu Set-Cookie? Czy zawartość pliku Cookie jest wysyłana na serwery?

Obsługuje analizę wsadową. Obszar wprowadzania obsługuje wklejanie dowolnej liczby wierszy Set-Cookie (np. wklejenie od razu całego bloku nagłówków odpowiedzi), każdy Set-Cookie jest analizowany z niezależną numeracją, za pomocą wielu kart atrybutów wyświetlających oddzielnie atrybuty i ostrzeżenia. Cały proces analizy jest wykonywany całkowicie lokalnie w Twojej przeglądarce (czyste przetwarzanie JavaScript po stronie front-endu), zawartość pliku Cookie nie jest wysyłana na żadne serwery, nie są wykonywane żadne żądania sieciowe — wrażliwe informacje, takie jak Session/Token, które wklejasz, nie opuszczają Twojego komputera, możesz używać z spokojem.

术语表

Set-Cookie
Nagłówek odpowiedzi HTTP, za pomocą którego serwer nakazuje przeglądarce zapisanie plików Cookie, może wystąpić wielokrotnie w odpowiedzi.
Cookie (nagłówek żądania)
Nagłówek żądania HTTP, lista par nazwa-wartość plików Cookie spełniających wymagania zakresu, automatycznie dołączana przez przeglądarkę, bez atrybutów.
HttpOnly
Flaga atrybutu pliku Cookie. Po ustawieniu JavaScript nie może odczytać tego pliku Cookie przez document.cookie, głównie broni przed kradzieżą sesji przez XSS.
Secure
Flaga atrybutu pliku Cookie. Po ustawieniu przeglądarka wysyła ten plik Cookie tylko przez szyfrowane połączenia HTTPS (lub localhost).
SameSite
Atrybut pliku Cookie kontrolujący, czy pliki Cookie są wysyłane w żądaniach cross-site, wartości Strict/Lax/None. Chrome 80+ domyślnie Lax.
Max-Age
Atrybut pliku Cookie określający czas życia w sekundach, ma wyższy priorytet niż Expires, zalecany. =0 oznacza natychmiastowe usunięcie.
Expires
Atrybut pliku Cookie określający konkretny moment wygaśnięcia (HTTP-date), zależny od zegara klienta.
Path
Atrybut pliku Cookie ograniczający prefiks ścieżki URL, w której plik Cookie obowiązuje, domyślnie pobiera katalog z adresu URL odpowiedzi.
Domain
Atrybut pliku Cookie ograniczający domenę, w której plik Cookie obowiązuje. Jeśli nieustawiony — tylko bieżący host, jeśli ustawiony — włącznie z poddomenami.
Partitioned (CHIPS)
Flaga atrybutu pliku Cookie włączająca partycjonowane przechowywanie plików Cookie firm trzecich, rozwiązanie zastępcze po wycofaniu plików Cookie firm trzecich przez Chrome, musi być używane z Secure.
Prefiks __Host-
Ograniczenie bezpieczeństwa przez prefiks nazwy pliku Cookie. Wymaga Secure, Path=/ i braku Domain; w przypadku naruszenia przeglądarka odmawia zapisu.
Prefiks __Secure-
Ograniczenie bezpieczeństwa przez prefiks nazwy pliku Cookie. Wymaga ustawienia Secure; w przypadku naruszenia przeglądarka odmawia zapisu.
Plik Cookie sesji (Session Cookie)
Plik Cookie bez ustawionych Max-Age i Expires, automatycznie usuwany po zamknięciu przeglądarki.
Plik Cookie firmy trzeciej (Third-party Cookie)
Plik Cookie ustawiony przez domenę inną niż domena aktualnie odwiedzanej strony, zwykle ustawiany przez usługi firm trzecich, takie jak reklamy, śledzenie, osadzenia iframe, jest stopniowo ograniczany przez przeglądarki.

Szybka tabela referencyjna: porównanie trzech strategii SameSite

Pełna tabela referencyjna atrybutów Set-Cookie (RFC 6265bis)

Limity rozmiaru i liczby Set-Cookie w popularnych przeglądarkach

Troubleshooting