Analyseur d'en-têtes Set-Cookie et Cookie

Collez un en-tête Set-Cookie ou Cookie brut et voyez chaque attribut, expiration et alerte de sécurité détaillés dans votre navigateur.

L'analyseur Set-Cookie s'exécute entièrement dans votre navigateur. Les en-têtes de cookie, les valeurs et tout token qu'ils contiennent sont analysés sur votre appareil et ne sont jamais téléversés vers ArrayKit.

Ouvrir le lecteur HAR

À propos de Analyseur Set-Cookie

L'analyseur Set-Cookie prend un en-tête de réponse Set-Cookie brut — ou toute une pile — et décompose chaque cookie en un tableau lisible : nom, valeur décodée d'URL, Domain, Path, Expires avec un temps relatif convivial, Max-Age, et les drapeaux Secure, HttpOnly, SameSite, Priority et Partitioned. Il signale les erreurs qui cassent discrètement les cookies, comme SameSite=None sans Secure, une date déjà expirée, ou un préfixe __Host- qui viole ses règles, et vous indique si chaque cookie est de session ou persistant. Collez plutôt un en-tête de requête Cookie et il liste chaque nom et valeur envoyés. Tout est analysé localement dans votre navigateur, si bien que les en-têtes que vous inspectez ne quittent jamais votre appareil.

Fonctionnalités

Comment utiliser Analyseur Set-Cookie

  1. Copiez un en-tête Set-Cookie depuis le panneau Réseau de votre navigateur ou une réponse serveur
  2. Collez-le dans la zone — ajoutez d'autres lignes Set-Cookie, une par ligne, si vous en avez plusieurs
  3. Lisez le tableau par cookie pour les attributs, l'expiration et toute alerte mise en évidence
  4. Passez au mode en-tête Cookie pour inspecter plutôt la ligne Cookie: d'une requête

Exemple

Entrée

Set-Cookie: track=1; Domain=.example.com; SameSite=None

Sortie

track = 1 | Domain=.example.com | SameSite=None | Session
⚠ SameSite=None requires the Secure attribute — browsers will reject this cookie.

Un cookie SameSite=None sans Secure est signalé dès que vous le collez.

Erreurs courantes et dépannage

Foire aux questions

Qu'affiche l'analyseur Set-Cookie pour chaque cookie ?
Pour chaque en-tête Set-Cookie, il liste le nom, la valeur décodée d'URL, et chaque attribut qu'il trouve — Domain, Path, Expires (avec un temps relatif), Max-Age, Secure, HttpOnly, SameSite, Priority et Partitioned — plus des alertes pour tout ce qui semble cassé.
Pourquoi SameSite=None nécessite-t-il l'attribut Secure ?
Les navigateurs modernes n'acceptent un cookie intersite (SameSite=None) que lorsqu'il est aussi marqué Secure, pour qu'il ne circule que sur HTTPS. Si Secure est absent, le navigateur rejette le cookie, et l'analyseur signale cette combinaison avec une alerte.
Quelle est la différence entre Max-Age et Expires sur un cookie ?
Expires fixe une date absolue ; Max-Age fixe une durée de vie en secondes à partir de la réception du cookie. Lorsque les deux sont présents, Max-Age l'emporte, donc l'outil résout Max-Age par rapport à l'heure actuelle et signale qu'il a priorité sur Expires.
Que signifient les préfixes de nom de cookie __Host- et __Secure- ?
Ce sont des préfixes de sécurité que les navigateurs appliquent. Un cookie __Secure- doit définir Secure ; un cookie __Host- doit définir Secure, omettre Domain et utiliser Path=/. L'analyseur vérifie ces règles et avertit lorsque le nom d'un cookie promet des garanties que ses attributs ne tiennent pas.
Cet outil peut-il aussi analyser un en-tête de requête Cookie ?
Oui. Passez au mode en-tête Cookie et collez une ligne Cookie: (ou une simple chaîne « a=1; b=2 ») pour obtenir un tableau de chaque nom et valeur de cookie que la requête envoie, chacun décodé d'URL et copiable.
Qu'est-ce qu'un cookie de session par rapport à un cookie persistant ici ?
Un cookie sans Expires ni Max-Age est un cookie de session — il est effacé à la fermeture du navigateur. Tout ce qui a une date Expires ou un Max-Age est persistant. L'analyseur étiquette chaque cookie Session ou Persistant pour que vous puissiez le voir d'un coup d'œil.

Outils associés

Tous les outils ArrayKit