logo

Cookie 檢視器

免費線上 Cookie 檢視器。貼上 Set-Cookie 或 Cookie 標頭,立即拆解每個屬性(HttpOnly、Secure、SameSite、到期時間)並逐一解釋。
logo
啪唧開發工坊
Cookie 檢視器

Cookie 檢視器

免費線上 Cookie 檢視器。貼上 Set-Cookie 或 Cookie 標頭,立即拆解每個屬性(HttpOnly、Secure、SameSite、到期時間)並逐一解釋。
處理中

關於 Cookie

無狀態的網路,cookie 怎麼記住你

HTTP 是無狀態的——每個請求各自獨立。伺服器靠回應裡的 Set-Cookie 標頭記住你;瀏覽器把它存下來,之後對同一網站的請求就用 Cookie 標頭送回去。登入與 session 就是靠這一來一回運作的。

屬性決定 cookie 何時送出、送得安不安全

HttpOnly 讓 JavaScript 讀不到 cookie,削弱 XSS;Secure 限定只走 HTTPS;SameSite 控制跨站是否送出,是防 CSRF 的核心,而 SameSite=None 必須搭配 Secure 才有效。Domain 與 Path 決定作用範圍;Max-Age 與 Expires 決定存活多久。

常見問題

關於這個主題的常見疑問與實用解答。

SameSite 的 Lax、Strict、None 差在哪?

Strict 完全不跨站送;Lax 只在頂層導覽(如點連結)時送;None 則所有跨站請求都送,但必須搭配 Secure。Lax 是現代瀏覽器的預設值。

HttpOnly 和 Secure 差在哪?

HttpOnly 讓 JavaScript 讀不到 cookie(防 XSS 竊取);Secure 讓它不經明文 HTTP 傳送(防網路攔截)。兩者防的是不同攻擊,所以敏感 cookie 通常兩個都設。

cookie 什麼時候過期?

如果既沒有 Max-Age 也沒有 Expires,它就是 session cookie,關閉瀏覽器就消失。Max-Age(從現在起的秒數)優先於 Expires(絕對時間);Max-Age 為 0 或更小則立即刪除。

我貼上的 cookie 會被傳送到伺服器嗎?

不會。所有解析都在你的瀏覽器中完成,你貼上的任何內容都不會離開你的裝置。