logo

Cookie 查看器

免费在线 Cookie 查看器。粘贴 Set-Cookie 或 Cookie 标头,立即拆解每个属性(HttpOnly、Secure、SameSite、到期时间)并逐一解释。
logo
啪唧开发工坊
Cookie 查看器

Cookie 查看器

免费在线 Cookie 查看器。粘贴 Set-Cookie 或 Cookie 标头,立即拆解每个属性(HttpOnly、Secure、SameSite、到期时间)并逐一解释。
处理中

关于 Cookie

无状态的网络,cookie 怎么记住你

HTTP 是无状态的——每个请求各自独立。服务器靠响应里的 Set-Cookie 标头记住你;浏览器把它存下来,之后对同一网站的请求就用 Cookie 标头送回去。登录与 session 就是靠这一来一回运作的。

属性决定 cookie 何时送出、送得安不安全

HttpOnly 让 JavaScript 读不到 cookie,削弱 XSS;Secure 限定只走 HTTPS;SameSite 控制跨站是否送出,是防 CSRF 的核心,而 SameSite=None 必须搭配 Secure 才有效。Domain 与 Path 决定作用范围;Max-Age 与 Expires 决定存活多久。

常见问题

关于这个主题的常见疑问与实用解答。

SameSite 的 Lax、Strict、None 差在哪?

Strict 完全不跨站送;Lax 只在顶层导览(如点链接)时送;None 则所有跨站请求都送,但必须搭配 Secure。Lax 是现代浏览器的默认值。

HttpOnly 和 Secure 差在哪?

HttpOnly 让 JavaScript 读不到 cookie(防 XSS 窃取);Secure 让它不经明文 HTTP 传送(防网络拦截)。两者防的是不同攻击,所以敏感 cookie 通常两个都设。

cookie 什么时候过期?

如果既没有 Max-Age 也没有 Expires,它就是 session cookie,关闭浏览器就消失。Max-Age(从现在起的秒数)优先于 Expires(绝对时间);Max-Age 为 0 或更小则立即删除。

我粘贴的 cookie 会被发送到服务器吗?

不会。所有解析都在你的浏览器中完成,你粘贴的任何内容都不会离开你的设备。