Analizador de Cabeceras Set-Cookie y Cookie
Pega una cabecera Set-Cookie o Cookie sin procesar y ve cada atributo, caducidad y advertencia de seguridad desglosados en tu navegador.
El Analizador de Set-Cookie funciona por completo en tu navegador. Las cabeceras de cookie, los valores y cualquier token que contengan se analizan en tu dispositivo y nunca se suben a ArrayKit.
Abre el Visor de HAR
Acerca de Analizador de Set-Cookie
El Analizador de Set-Cookie toma una cabecera de respuesta Set-Cookie sin procesar —o toda una pila de ellas— y descompone cada cookie en una tabla legible: nombre, valor decodificado de URL, Domain, Path, Expires con un tiempo relativo cómodo, Max-Age y los indicadores Secure, HttpOnly, SameSite, Priority y Partitioned. Señala los errores que rompen las cookies en silencio, como SameSite=None sin Secure, una fecha ya caducada o un prefijo __Host- que incumple sus reglas, y te dice si cada cookie es de sesión o persistente. Pega en su lugar una cabecera de solicitud Cookie y enumera cada nombre y valor que se envía. Todo se analiza localmente en tu navegador, así que las cabeceras que inspeccionas nunca salen de tu dispositivo.
Características
- Descompone cada cabecera Set-Cookie en su nombre, valor y todos sus atributos
- Decodifica de URL el valor de la cookie y copia el name=value sin procesar cuando lo pidas
- Analiza Expires en una fecha absoluta más una etiqueta relativa «dentro de 2 horas»
- Resuelve Max-Age respecto a la hora actual para mostrar el momento real de caducidad
- Advierte sobre SameSite=None sin Secure, fechas caducadas y Max-Age igual a cero
- Comprueba las reglas de los prefijos de nombre __Host- y __Secure- y el indicador Partitioned
- Cambia a un modo de cabecera de solicitud Cookie que enumera cada par nombre/valor
- Analiza una o muchas líneas Set-Cookie a la vez, por completo en tu navegador
Cómo usar Analizador de Set-Cookie
- Copia una cabecera Set-Cookie del panel de Red de tu navegador o de una respuesta del servidor
- Pégala en el cuadro; añade más líneas Set-Cookie, una por línea, si tienes varias
- Lee la tabla por cookie con los atributos, la caducidad y cualquier advertencia resaltada
- Cambia al modo de cabecera Cookie para inspeccionar en su lugar la línea Cookie: de una solicitud
Ejemplo
Entrada
Set-Cookie: track=1; Domain=.example.com; SameSite=None
Salida
track = 1 | Domain=.example.com | SameSite=None | Session
⚠ SameSite=None requires the Secure attribute — browsers will reject this cookie.
Una cookie SameSite=None sin Secure se señala en cuanto la pegas.
Errores comunes y solución de problemas
- Se pegaron varias cabeceras Set-Cookie pero solo se analizó la primera. — Pon cada cabecera Set-Cookie en su propia línea. No las unas con comas: un valor Expires válido ya contiene una coma, así que unirlas con comas corrompe la fecha.
- Expires muestra «could not be parsed as an HTTP date.» — Usa el formato de fecha HTTP estándar, p. ej. Expires=Wed, 21 Oct 2025 07:28:00 GMT. Una fecha malformada o que no esté en GMT no se puede leer de forma fiable.
- Una cabecera de solicitud Cookie se leyó como una sola Set-Cookie con atributos extraños. — Cambia a la pestaña de cabecera Cookie, o antepón «Cookie:» a la línea para que se trate como una cabecera de solicitud de pares name=value.
- El valor parece codificado con porcentaje, como dark%20mode. — El analizador decodifica de URL el valor para mostrarlo (dark mode), mientras que el botón de copiar sigue dando el name=value exacto sin procesar de la cabecera.
Preguntas frecuentes
- ¿Qué muestra el analizador de Set-Cookie para cada cookie?
- Por cada cabecera Set-Cookie enumera el nombre, el valor decodificado de URL y cada atributo que encuentra —Domain, Path, Expires (con un tiempo relativo), Max-Age, Secure, HttpOnly, SameSite, Priority y Partitioned—, más advertencias para cualquier cosa que parezca rota.
- ¿Por qué SameSite=None requiere el atributo Secure?
- Los navegadores modernos solo aceptan una cookie entre sitios (SameSite=None) cuando también está marcada como Secure, de modo que solo puede viajar por HTTPS. Si falta Secure, el navegador rechaza la cookie, y el analizador señala esa combinación con una advertencia.
- ¿Cuál es la diferencia entre Max-Age y Expires en una cookie?
- Expires fija una fecha absoluta; Max-Age fija una duración en segundos desde que se recibe la cookie. Cuando ambos están presentes, gana Max-Age, así que la herramienta resuelve Max-Age respecto a la hora actual e indica que tiene prioridad sobre Expires.
- ¿Qué significan los prefijos de nombre de cookie __Host- y __Secure-?
- Son prefijos de seguridad que los navegadores aplican. Una cookie __Secure- debe establecer Secure; una cookie __Host- debe establecer Secure, omitir Domain y usar Path=/. El analizador comprueba estas reglas y advierte cuando el nombre de una cookie promete garantías que sus atributos no cumplen.
- ¿Esta herramienta también puede analizar una cabecera de solicitud Cookie?
- Sí. Cambia al modo de cabecera Cookie y pega una línea Cookie: (o una cadena suelta «a=1; b=2») para obtener una tabla con cada nombre y valor de cookie que envía la solicitud, cada uno decodificado de URL y copiable.
- ¿Qué es una cookie de sesión frente a una cookie persistente aquí?
- Una cookie sin Expires y sin Max-Age es una cookie de sesión: se borra cuando se cierra el navegador. Cualquiera con una fecha Expires o Max-Age es persistente. El analizador etiqueta cada cookie como Sesión o Persistente para que lo veas de un vistazo.
Herramientas relacionadas
Todas las herramientas de ArrayKit