Analyseur d'en-têtes Set-Cookie et Cookie
Collez un en-tête Set-Cookie ou Cookie brut et voyez chaque attribut, expiration et alerte de sécurité détaillés dans votre navigateur.
L'analyseur Set-Cookie s'exécute entièrement dans votre navigateur. Les en-têtes de cookie, les valeurs et tout token qu'ils contiennent sont analysés sur votre appareil et ne sont jamais téléversés vers ArrayKit.
Ouvrir le lecteur HAR
À propos de Analyseur Set-Cookie
L'analyseur Set-Cookie prend un en-tête de réponse Set-Cookie brut — ou toute une pile — et décompose chaque cookie en un tableau lisible : nom, valeur décodée d'URL, Domain, Path, Expires avec un temps relatif convivial, Max-Age, et les drapeaux Secure, HttpOnly, SameSite, Priority et Partitioned. Il signale les erreurs qui cassent discrètement les cookies, comme SameSite=None sans Secure, une date déjà expirée, ou un préfixe __Host- qui viole ses règles, et vous indique si chaque cookie est de session ou persistant. Collez plutôt un en-tête de requête Cookie et il liste chaque nom et valeur envoyés. Tout est analysé localement dans votre navigateur, si bien que les en-têtes que vous inspectez ne quittent jamais votre appareil.
Fonctionnalités
- Décompose chaque en-tête Set-Cookie en son nom, sa valeur et chaque attribut
- Décode l'URL de la valeur du cookie et copie le name=value brut à la demande
- Analyse Expires en une date absolue plus une étiquette relative « dans 2 heures »
- Résout Max-Age par rapport à l'heure actuelle pour afficher le vrai moment d'expiration
- Avertit en cas de SameSite=None sans Secure, de dates expirées et de Max-Age à zéro
- Vérifie les règles des préfixes de nom __Host- et __Secure- ainsi que le drapeau Partitioned
- Bascule vers un mode en-tête de requête Cookie qui liste chaque paire nom/valeur
- Analyse une ou plusieurs lignes Set-Cookie à la fois, entièrement dans votre navigateur
Comment utiliser Analyseur Set-Cookie
- Copiez un en-tête Set-Cookie depuis le panneau Réseau de votre navigateur ou une réponse serveur
- Collez-le dans la zone — ajoutez d'autres lignes Set-Cookie, une par ligne, si vous en avez plusieurs
- Lisez le tableau par cookie pour les attributs, l'expiration et toute alerte mise en évidence
- Passez au mode en-tête Cookie pour inspecter plutôt la ligne Cookie: d'une requête
Exemple
Entrée
Set-Cookie: track=1; Domain=.example.com; SameSite=None
Sortie
track = 1 | Domain=.example.com | SameSite=None | Session
⚠ SameSite=None requires the Secure attribute — browsers will reject this cookie.
Un cookie SameSite=None sans Secure est signalé dès que vous le collez.
Erreurs courantes et dépannage
- Plusieurs en-têtes Set-Cookie ont été collés mais seul le premier a été analysé. — Mettez chaque en-tête Set-Cookie sur sa propre ligne. Ne les joignez pas par des virgules — une valeur Expires valide contient déjà une virgule, donc les joindre par une virgule corrompt la date.
- Expires affiche « n'a pas pu être analysé comme une date HTTP. » — Utilisez le format de date HTTP standard, p. ex. Expires=Wed, 21 Oct 2025 07:28:00 GMT. Une date mal formée ou non-GMT ne peut pas être lue de façon fiable.
- Un en-tête de requête Cookie a été lu comme un seul Set-Cookie aux attributs étranges. — Passez à l'onglet en-tête Cookie, ou préfixez la ligne par « Cookie: » pour qu'elle soit traitée comme un en-tête de requête de paires name=value.
- La valeur semble encodée en pourcentage, comme dark%20mode. — L'analyseur décode l'URL de la valeur pour l'affichage (dark mode) tandis que le bouton Copier fournit toujours le name=value brut exact de l'en-tête.
Foire aux questions
- Qu'affiche l'analyseur Set-Cookie pour chaque cookie ?
- Pour chaque en-tête Set-Cookie, il liste le nom, la valeur décodée d'URL, et chaque attribut qu'il trouve — Domain, Path, Expires (avec un temps relatif), Max-Age, Secure, HttpOnly, SameSite, Priority et Partitioned — plus des alertes pour tout ce qui semble cassé.
- Pourquoi SameSite=None nécessite-t-il l'attribut Secure ?
- Les navigateurs modernes n'acceptent un cookie intersite (SameSite=None) que lorsqu'il est aussi marqué Secure, pour qu'il ne circule que sur HTTPS. Si Secure est absent, le navigateur rejette le cookie, et l'analyseur signale cette combinaison avec une alerte.
- Quelle est la différence entre Max-Age et Expires sur un cookie ?
- Expires fixe une date absolue ; Max-Age fixe une durée de vie en secondes à partir de la réception du cookie. Lorsque les deux sont présents, Max-Age l'emporte, donc l'outil résout Max-Age par rapport à l'heure actuelle et signale qu'il a priorité sur Expires.
- Que signifient les préfixes de nom de cookie __Host- et __Secure- ?
- Ce sont des préfixes de sécurité que les navigateurs appliquent. Un cookie __Secure- doit définir Secure ; un cookie __Host- doit définir Secure, omettre Domain et utiliser Path=/. L'analyseur vérifie ces règles et avertit lorsque le nom d'un cookie promet des garanties que ses attributs ne tiennent pas.
- Cet outil peut-il aussi analyser un en-tête de requête Cookie ?
- Oui. Passez au mode en-tête Cookie et collez une ligne Cookie: (ou une simple chaîne « a=1; b=2 ») pour obtenir un tableau de chaque nom et valeur de cookie que la requête envoie, chacun décodé d'URL et copiable.
- Qu'est-ce qu'un cookie de session par rapport à un cookie persistant ici ?
- Un cookie sans Expires ni Max-Age est un cookie de session — il est effacé à la fermeture du navigateur. Tout ce qui a une date Expires ou un Max-Age est persistant. L'analyseur étiquette chaque cookie Session ou Persistant pour que vous puissiez le voir d'un coup d'œil.
Outils associés
Tous les outils ArrayKit