OpenReplay Logo
12k
12k

Analyseur de cookies

Analysez les en-têtes Cookie et Set-Cookie dans votre navigateur — décodez les valeurs, lisez les attributs et repérez les erreurs de configuration. Rien ne quitte votre machine.

Traité en local
Cookies
Collez un en-tête Cookie ci-dessus pour lister chaque cookie avec sa valeur décodée et sa taille en octets.

À propos de cet outil

Un analyseur de cookies décompose une chaîne de cookie HTTP en ses éléments. Un en-tête de requête « Cookie » (la même chaîne que celle obtenue via document.cookie) est une liste plate « name=value; name=value », tandis que chaque en-tête de réponse « Set-Cookie » porte un cookie et ses attributs : Domain, Path, Expires, Max-Age, Secure, HttpOnly, SameSite, Partitioned et Priority. Cet outil lit les deux : il découpe sur les bons délimiteurs, décode l'URL et déguillemette les valeurs (qui peuvent elles-mêmes contenir « = »), rapporte la taille en octets de chaque cookie par rapport à la limite navigateur d'environ 4096 octets, et résout Expires et Max-Age en dates et comptes à rebours lisibles.

Utilisez-le pour comprendre pourquoi un cookie n'est pas défini ou envoyé — collez une ligne Set-Cookie et l'outil signale les erreurs classiques : SameSite=None sans Secure, un Expires/Max-Age manquant qui en fait discrètement un cookie de session, une charge utile surdimensionnée, ou un Domain hérité avec un point en tête. Ou collez un en-tête Cookie pour inventorier exactement ce que transporte une requête, copiez-le au format JSON pour une fixture de test, ou repérez un cookie surdimensionné qui ralentit les requêtes. « Load my cookies » récupère document.cookie pour cette page afin que vous puissiez inspecter sur-le-champ vos propres cookies non HttpOnly.

Tout est analysé localement dans votre navigateur — aucun en-tête, aucune valeur, ni aucun cookie n'est jamais envoyé à un serveur, et les cookies HttpOnly sont intentionnellement invisibles pour document.cookie, ils n'apparaîtront donc pas sous \"Load my cookies\".

Questions fréquentes

Quelle est la différence entre les en-têtes Cookie et Set-Cookie ?

L'en-tête Cookie est envoyé par le navigateur au serveur sous la forme d'une seule ligne de paires « name=value » séparées par des points-virgules, sans attributs. Set-Cookie va dans l'autre sens — un en-tête par cookie dans la réponse — et porte des attributs comme Domain, Path, Expires, Max-Age, Secure et SameSite qui indiquent au navigateur comment le stocker et l'envoyer.

Qui l'emporte, Max-Age ou Expires, lorsque les deux sont définis ?

Max-Age a la priorité. Si un en-tête Set-Cookie inclut les deux, les navigateurs qui prennent en charge Max-Age l'utilisent et ignorent Expires ; Max-Age est une durée de vie en secondes, tandis qu'Expires est une date absolue. Un Max-Age de 0 ou une valeur négative supprime le cookie immédiatement.

Pourquoi mon cookie SameSite=None est-il rejeté ?

Les navigateurs exigent l'attribut Secure dès lors que SameSite=None est utilisé, afin que le cookie ne soit envoyé que sur HTTPS. Un Set-Cookie avec SameSite=None mais sans drapeau Secure est abandonné — ajoutez Secure (et servez en HTTPS) pour corriger cela.