Was macht das Secure-Flag?

"**Schick dieses Cookie NUR ueber HTTPS**". Ohne reist das Cookie im Klartext ueber HTTP, jeder im selben WLAN kann es abfangen ([[MITM-Angriff||Man in the Middle, jemand zwischen dir und dem Server kann deinen Traffic lesen und veraendern]]). Heute SOLLTE jedes Session-Cookie Secure haben.

"**Gib dieses Cookie nicht an JavaScript**". `document.cookie` sieht es nicht, der Browser schickt es automatisch in Headern, Seiten-Skripte haben aber keinen Zugriff. Schuetzt vor Session-Klau ueber [[XSS||Cross-Site Scripting, ein Angriff, bei dem ein boesartiges Skript auf einer Seite Nutzerdaten klaut]]: selbst wenn ein Angreifer ein Skript injiziert, kann er die Session-ID nicht greifen.

Es steuert, **wann der Browser das Cookie bei Cross-Site-Requests sendet**. **Lax** (Default) = bei Top-Level-Navigation gesendet, aber nicht bei Cross-Site-POST. **Strict** = nur bei Same-Site-Requests. **None** = immer gesendet (verlangt Secure). Schuetzt vor [[CSRF||Cross-Site Request Forgery, ein Angriff, bei dem eine fremde Seite einen Request an eine andere Seite in deinem Namen ausloest, z. B. eine Geldueberweisung]].

Warum verlangt SameSite=None das Secure?

Seit 2020 **lehnen alle grossen Browser** ein Cookie mit `SameSite=None` ab, wenn es kein `Secure`-Flag hat. Die Logik: erlaubst du Cross-Site-Senden, MUSS es nur ueber HTTPS gehen, sonst fischt ein Netzwerk-Angreifer trivial ab. Unser Parser flaggt diesen Fall.

Warum Max-Age statt Expires bevorzugen?

**Max-Age** ist eine Anzahl **Sekunden ab jetzt**, kein Wissen ueber Datum oder Zeitzone noetig. **Expires** ist ein **absolutes GMT-Datum**. Max-Age ist einfacher zu berechnen und resilient gegen Clock-Skew. Alle modernen Browser verstehen Max-Age. Setzt du beides, **gewinnt Max-Age** (RFC 6265).

Was sind Partitioned-Cookies (CHIPS)?

**Cookies Having Independent Partitioned State**, ein neuer Standard in Chrome (und anderen Browsern), in dem ein in einem iframe eingebettetes Cookie (z. B. ein Widget) **nach der Top-Level-Site partitioniert** ist. Traditionell sammelte derselbe Tracker Daten ueber viele Sites, mit CHIPS hat jede Top-Level-Site einen eigenen, unabhaengigen Bucket. Flag: `Partitioned`.

Was bedeutet Priority an einem Cookie?

**Eine Chrome-only-Erweiterung**: wenn der Browser sich dem **Per-Domain-Cookie-Limit naehert**, evictet er zuerst Low, dann Medium, dann High. High fuer kritische Cookies setzen (Session, CSRF-Token), Low fuer kosmetische (Theme-Preference). Andere Browser ignorieren es.

Was bedeutet ein fuehrender Punkt vor einer Domain (.example.de)?

Ein fuehrender Punkt hiess "**und alle Subdomains**". `.example.de` = www.example.de, api.example.de, blog.example.de. Ohne den Punkt = **nur genau dieser Host**. Moderne Browser behandeln beide Formen gleich, `example.de` im Attribut deckt auch Subdomains ab.

Welche Attribute sind Pflicht?

**Keines**, `name=value` reicht (du bekommst ein "Session-Cookie", lebendig bis zum Browser-Schliessen). Fuer einen sicheren Login ist das **empfohlene Minimum**: `name=value; Secure; HttpOnly; SameSite=Lax; Path=/; Max-Age=...`. Genau das setzt "Secure defaults" ein.

Cookie Parser & Builder - kostenlos

Cookie oder Set-Cookie einfügen

Geparste Cookies (4)Set-Cookie

session_id
Wert
abc123def456
Expires
5/13/2027, 9:14:22 AMin 351d
Path
/
Domain
.example.comSubdomains
Secure HttpOnlySameSite=LaxPriority=High
- Domain beginnt mit Punkt (.example.com) - Cookie wird über alle Subdomains geteilt.
csrf_token
Wert
xY9z-K3qP_aB
Lebensdauer
Session (bis der Browser schließt)
Path
/
Secure HttpOnlySameSite=Strict
- Kein HttpOnly - das Cookie ist über JavaScript (document.cookie) zugänglich, XSS-exponiert.
tracker
Wert
ga_99887766
Max-Age
86400sin 1d
Path
/
Secure HttpOnlySameSite=None
- SameSite=None erfordert Secure - der Browser wird dieses Cookie ablehnen.
- Kein Secure-Flag - das Cookie über HTTP ist anfällig für MITM-Abfangen.
- Kein HttpOnly - das Cookie ist über JavaScript (document.cookie) zugänglich, XSS-exponiert.
cart
Wert
item-001%2Citem-002
Max-Age
604800sin 7d
Path
/cart
Secure HttpOnlySameSite -
- Kein Secure-Flag - das Cookie über HTTP ist anfällig für MITM-Abfangen.
- Kein SameSite - Browser nutzen Lax als Default, aber sicherer ist, es explizit zu setzen.

Cookie-/Set-Cookie-Header-Parser und -Builder

Cookies sind die Standard-Art, eine Session und Nutzereinstellungen im Browser zu halten. Der Cookie-Header (Browser zu Server) und der Set-Cookie-Header (Server zu Browser) sehen aehnlich aus, Set-Cookie hat aber einen Haufen Attribute: Expires, Path, Domain, Secure, HttpOnly, SameSite.

Hier kannst du einen Header einfuegen oder einen von Grund auf bauen. Im Parse-Modus zerlegen wir jedes Cookie in Attribute, zeigen das Ablaufdatum ("in 3 Tagen" / "EXPIRED") und bewerten die Sicherheit: fehlendes Secure, fehlendes HttpOnly, SameSite=None ohne Secure, du bekommst eine klare Warnung mit Beschreibung.

Im Build-Modus designst du ein Set-Cookie Schritt fuer Schritt mit einem Formular: Felder, Datumswerte, Apple-Style-Switches. Secure defaults setzt Secure + HttpOnly + SameSite=Lax + Max-Age=24h mit einem Klick.

So benutzt du es

Parse: einen vollen `Set-Cookie:`-Header (oder mehrere Zeilen) oder einen `Cookie:`-Header einfuegen, wir erkennen beides. Du bekommst eine Tabelle mit Attributen und eine Security-Bewertung.

Lange Werte werden mit einem "Show more"-Link gekuerzt. Der "Copy"-Button greift die volle Cookie-Zeile.

Farbige Pills zeigen SameSite (rot=None, gruen=Lax, blau=Strict), Priority (Low/Medium/High) und Partitioned (CHIPS).

Build: Name und Wert eingeben, Max-Age oder Expires waehlen (gegenseitig ausschliessend), Path, Domain setzen, Secure/HttpOnly/Partitioned toggeln, SameSite und Priority waehlen.

Der "Secure defaults"-Button setzt eine Konfiguration, die jeder Auditor durchwinken wuerde: Secure + HttpOnly + Lax + 24-h-Lebensdauer.

Den entstandenen `Set-Cookie:` kopieren und in den Response-Header deines Backends oder in cURL-/HTTPie-Tests einfuegen.

Wann das nuetzlich ist

Reale Situationen bei Arbeit mit Sessions und Sicherheit:

Login-Debugging: "warum bleibt meine Session nicht?". Den Set-Cookie-Header aus DevTools einfuegen und pruefen, ob Secure dabei ist, die richtige Domain, ob SameSite Cross-Site-Requests blockt.
Security-Audit: Cookies einer Legacy-App reviewen, auf solche ohne HttpOnly (XSS-exponiert) oder Secure (MITM-exponiert) jagen. Du bekommst die Problemliste in einer Sekunde.
Neue Cookies schreiben: einen Login-Endpoint designen und "richtig" machen wollen. "Secure defaults" zeigt, wie ein Set-Cookie 2026 aussehen sollte.
cURL-Testing: einen Set-Cookie-Header aus den Browser-DevTools kopieren, parsen, anpassen, in ein Test-Skript mit `-H "Cookie: ..."` einfuegen.
SameSite=Lax-Migration: Browser werden strenger. Verifizieren, dass deine Cookies dem neuen Standard entsprechen.
Cross-Domain-Cookies: CHIPS / Partitioned-Cookies fuer Embeds. Hier siehst du, ob das Flag korrekt gesetzt ist.

Zum Inspizieren von HTTP-Headern unseren HTTP-Headers-Inspektor nutzen. Fuer eine Header-Referenz HTTP-Headers-Referenz. Fuer HTTP-Statuscodes die Statuscode-Referenz.

Fragen und Antworten

Sie sind zwei Richtungen: Set-Cookie schickt der Server an den Browser ("merk dir dieses Cookie mit diesen Attributen"). Cookie schickt der Browser in jedem folgenden Request an den Server ("hier ist, was ich fuer dich halte"). Set-Cookie hat Attribute (Expires, Path, Secure...), Cookie ist nur eine Liste von name=value-Paaren, getrennt durch `; `.

Cookie-/Set-Cookie-Header-Parser und -Builder

So benutzt du es

Parse: einen vollen `Set-Cookie:`-Header (oder mehrere Zeilen) oder einen `Cookie:`-Header einfuegen, wir erkennen beides. Du bekommst eine Tabelle mit Attributen und eine Security-Bewertung.

Lange Werte werden mit einem "Show more"-Link gekuerzt. Der "Copy"-Button greift die volle Cookie-Zeile.

Farbige Pills zeigen SameSite (rot=None, gruen=Lax, blau=Strict), Priority (Low/Medium/High) und Partitioned (CHIPS).

Build: Name und Wert eingeben, Max-Age oder Expires waehlen (gegenseitig ausschliessend), Path, Domain setzen, Secure/HttpOnly/Partitioned toggeln, SameSite und Priority waehlen.

Der "Secure defaults"-Button setzt eine Konfiguration, die jeder Auditor durchwinken wuerde: Secure + HttpOnly + Lax + 24-h-Lebensdauer.

Den entstandenen `Set-Cookie:` kopieren und in den Response-Header deines Backends oder in cURL-/HTTPie-Tests einfuegen.

Wann das nuetzlich ist

Reale Situationen bei Arbeit mit Sessions und Sicherheit:

Login-Debugging: "warum bleibt meine Session nicht?". Den Set-Cookie-Header aus DevTools einfuegen und pruefen, ob Secure dabei ist, die richtige Domain, ob SameSite Cross-Site-Requests blockt.
Security-Audit: Cookies einer Legacy-App reviewen, auf solche ohne HttpOnly (XSS-exponiert) oder Secure (MITM-exponiert) jagen. Du bekommst die Problemliste in einer Sekunde.
Neue Cookies schreiben: einen Login-Endpoint designen und "richtig" machen wollen. "Secure defaults" zeigt, wie ein Set-Cookie 2026 aussehen sollte.
cURL-Testing: einen Set-Cookie-Header aus den Browser-DevTools kopieren, parsen, anpassen, in ein Test-Skript mit `-H "Cookie: ..."` einfuegen.
SameSite=Lax-Migration: Browser werden strenger. Verifizieren, dass deine Cookies dem neuen Standard entsprechen.
Cross-Domain-Cookies: CHIPS / Partitioned-Cookies fuer Embeds. Hier siehst du, ob das Flag korrekt gesetzt ist.

Zum Inspizieren von HTTP-Headern unseren HTTP-Headers-Inspektor nutzen. Fuer eine Header-Referenz HTTP-Headers-Referenz. Fuer HTTP-Statuscodes die Statuscode-Referenz.

Fragen und Antworten

Cookie Parser & Builder

Cookie-/Set-Cookie-Header-Parser und -Builder

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

HTTP-Header Inspector

HTTP-Statuscodes

MIME-Typ-Lookup

HTTP Request Tester

Cookie Parser & Builder

Cookie-/Set-Cookie-Header-Parser und -Builder

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

HTTP-Header Inspector

HTTP-Statuscodes

MIME-Typ-Lookup

HTTP Request Tester