logo

Cookie インスペクター

無料のオンライン Cookie インスペクター。Set-Cookie や Cookie ヘッダーを貼り付けると、HttpOnly・Secure・SameSite・有効期限などの属性を分解して解説します。
logo
Paji 開発ワークショップ
Cookie インスペクター

Cookie インスペクター

無料のオンライン Cookie インスペクター。Set-Cookie や Cookie ヘッダーを貼り付けると、HttpOnly・Secure・SameSite・有効期限などの属性を分解して解説します。
処理中

Cookie について

ステートレスな web で cookie がどう覚えるか

HTTP はステートレスで、各リクエストは独立しています。サーバーはレスポンスの Set-Cookie ヘッダーであなたを覚え、ブラウザはそれを保存し、以後同じサイトへのリクエストで Cookie ヘッダーとして送り返します。このやり取りでログインやセッションが成り立ちます。

属性が cookie の送信タイミングと安全性を決める

HttpOnly は cookie を JavaScript から隠して XSS を弱め、Secure は HTTPS に限定します。SameSite はクロスサイト送信を制御する CSRF 対策の要で、SameSite=None は Secure とセットでのみ機能します。Domain と Path は適用範囲を、Max-Age と Expires は寿命を決めます。

よくある質問

このテーマに関するよくある疑問と回答をまとめました。

SameSite の Lax・Strict・None の違いは?

Strict はクロスサイトでは一切送らず、Lax はリンククリックなどトップレベル遷移でのみ送り、None はすべてのクロスサイトで送りますが Secure が必須です。Lax が最近のブラウザの既定です。

HttpOnly と Secure の違いは?

HttpOnly は JavaScript による読み取りを防ぎ(XSS 窃取対策)、Secure は平文 HTTP での送信を防ぎます(通信傍受対策)。守る攻撃が異なるため、機密 cookie は通常両方を設定します。

cookie はいつ失効しますか?

Max-Age も Expires もなければセッション cookie で、ブラウザを閉じると消えます。Max-Age(現在からの秒数)は Expires(絶対日時)より優先され、Max-Age が 0 以下なら即削除されます。

貼り付けた cookie はサーバーに送信されますか?

いいえ。すべてブラウザ内で解析され、貼り付けた内容が端末外に出ることはありません。