¿Qué hace el flag Secure?

"**Envía esta cookie SOLO sobre HTTPS**". Sin él la cookie viaja en claro por HTTP: cualquiera en la misma Wi-Fi puede interceptarla ([[ataque MITM||Man in the Middle: alguien entre tú y el servidor puede leer y modificar tu tráfico]]). Hoy toda cookie de sesión DEBERÍA tener Secure.

¿Qué hace HttpOnly?

"**No le des esta cookie al JavaScript**". `document.cookie` no la verá; el navegador la envía en cabeceras automáticamente, pero los scripts de la página no tienen acceso. Protege frente al robo de sesión vía [[XSS||Cross-Site Scripting: un ataque donde un script malicioso en una página roba datos del usuario]]: aunque un atacante inyecte un script, no puede robar el ID de sesión.

¿Qué hace SameSite?

Controla **cuándo envía el navegador la cookie en peticiones cross-site**. **Lax** (predeterminado) = se envía en navegaciones top-level pero no en POST cross-site. **Strict** = solo en peticiones del mismo sitio. **None** = siempre se envía (exige Secure). Protege frente a [[CSRF||Cross-Site Request Forgery: un ataque en el que una página externa dispara una petición a otro sitio en tu nombre, p. ej. una transferencia]].

¿Por qué SameSite=None exige Secure?

Desde 2020 **todos los grandes navegadores** rechazan una cookie con `SameSite=None` si no tiene el flag `Secure`. La lógica: si permites el envío cross-site, OBLIGATORIO que sea solo por HTTPS; si no, un atacante de red la intercepta de forma trivial. Nuestro parser señala este caso.

¿Por qué Max-Age es preferible a Expires?

**Max-Age** es un número de **segundos desde ahora**: no necesitas saber la fecha actual ni la zona horaria. **Expires** es una **fecha GMT absoluta**. Max-Age es más fácil de calcular y resistente al desfase de reloj. Todos los navegadores modernos entienden Max-Age. Si pones ambos, **gana Max-Age** (RFC 6265).

¿Qué son las cookies Partitioned (CHIPS)?

**Cookies Having Independent Partitioned State**: un nuevo estándar en Chrome (y otros navegadores) según el cual una cookie embebida en un iframe (p. ej. un widget) se **particiona por el sitio top-level**. Tradicionalmente, el mismo tracker recogía datos por muchos sitios; con CHIPS cada top-level tiene su bucket independiente. Flag: `Partitioned`.

¿Qué significa Priority en una cookie?

**Una extensión solo de Chrome**: cuando el navegador **se acerca al límite de cookies por dominio**, expulsa primero las Low, luego las Medium y luego las High. Pon High para cookies críticas (sesión, token CSRF), Low para las cosméticas (preferencia de tema). Otros navegadores la ignoran.

¿Qué significa un punto delante de un dominio (.example.com)?

Un punto inicial significaba "**y todos los subdominios**". `.example.com` = www.example.com, api.example.com, blog.example.com. Sin el punto = **solo ese host exacto**. Los navegadores modernos tratan ambas formas igual: `example.com` en el atributo también cubre subdominios.

¿Qué atributos son obligatorios?

**Ninguno**: con `name=value` basta (obtienes una "cookie de sesión", viva hasta que se cierre el navegador). Pero para un login seguro, el **mínimo recomendado** es: `name=value; Secure; HttpOnly; SameSite=Lax; Path=/; Max-Age=...`. Eso es exactamente lo que inserta "Valores seguros".

Parser y constructor de cookies - gratis

Pega Cookie o Set-Cookie

Cookies parseadas (4)Set-Cookie

session_id
Valor
abc123def456
Expires
5/13/2027, 9:14:22 AMen 351d
Path
/
Domain
.example.comsubdominios
Secure HttpOnlySameSite=LaxPriority=High
- El dominio empieza por punto (.example.com): la cookie se comparte entre todos los subdominios.
csrf_token
Valor
xY9z-K3qP_aB
Duración
Sesión (hasta cerrar el navegador)
Path
/
Secure HttpOnlySameSite=Strict
- Sin HttpOnly: la cookie es accesible vía JavaScript (document.cookie), expuesta a XSS.
tracker
Valor
ga_99887766
Max-Age
86400sen 1d
Path
/
Secure HttpOnlySameSite=None
- SameSite=None requiere Secure: el navegador rechazará esta cookie.
- Sin flag Secure: la cookie enviada por HTTP es vulnerable a interceptación MITM.
- Sin HttpOnly: la cookie es accesible vía JavaScript (document.cookie), expuesta a XSS.
cart
Valor
item-001%2Citem-002
Max-Age
604800sen 7d
Path
/cart
Secure HttpOnlySameSite -
- Sin flag Secure: la cookie enviada por HTTP es vulnerable a interceptación MITM.
- Sin SameSite: los navegadores asumen Lax por defecto, pero es más seguro fijarlo explícitamente.

Parser y constructor de cabeceras Cookie / Set-Cookie

Las cookies son la forma estándar de mantener una sesión y las preferencias del usuario en el navegador. La cabecera Cookie (navegador → servidor) y la cabecera Set-Cookie (servidor → navegador) parecen similares, pero Set-Cookie tiene una pila de atributos: Expires, Path, Domain, Secure, HttpOnly, SameSite.

Aquí puedes pegar una cabecera o construir una desde cero. En modo Parsear descomponemos cada cookie en atributos, mostramos la fecha de expiración ("en 3 días" / "EXPIRADA") y evaluamos la seguridad: falta Secure, falta HttpOnly, SameSite=None sin Secure: te llega un aviso claro con descripción.

En modo Construir diseñas un Set-Cookie paso a paso con un formulario: campos, fechas, switches estilo Apple. Los valores por defecto seguros ponen Secure + HttpOnly + SameSite=Lax + Max-Age=24h con un solo clic.

Cómo se usa

Parsear: pega una cabecera completa `Set-Cookie:` (o varias líneas) o una cabecera `Cookie:`; detectamos ambas. Obtienes una tabla con atributos y una evaluación de seguridad.

Los valores largos se truncan con un enlace "Ver más". El botón "Copiar" se lleva la línea entera de la cookie.

Las píldoras de color muestran SameSite (rojo=None, verde=Lax, azul=Strict), Priority (Low/Medium/High) y Partitioned (CHIPS).

Construir: introduce nombre y valor, elige Max-Age o Expires (mutuamente excluyentes), define Path, Domain, activa Secure/HttpOnly/Partitioned, elige SameSite y Priority.

El botón "Valores seguros" inserta una configuración que cualquier auditor aprobaría: Secure + HttpOnly + Lax + duración de 24h.

Copia la cabecera `Set-Cookie:` resultante y pégala en la cabecera de respuesta de tu backend o en tus tests con cURL/HTTPie.

Cuándo te resulta útil

Situaciones reales al trabajar con sesiones y seguridad:

Depurar logins: "¿por qué no se mantiene mi sesión?". Pega la cabecera Set-Cookie de DevTools y comprueba si tiene Secure, el dominio correcto o si SameSite bloquea peticiones cross-site.
Auditoría de seguridad: revisar cookies de una app legada, cazando las que no tienen HttpOnly (expuestas a XSS) o Secure (expuestas a MITM). Tienes la lista de problemas en un segundo.
Escribir cookies nuevas: diseñar un endpoint de login y querer "hacerlo bien". "Valores seguros" muestra cómo debería ser un Set-Cookie en 2026.
Tests con cURL: copia una cabecera Set-Cookie de DevTools, parséala, retoca y pega en un script de prueba con `-H "Cookie: ..."`.
Migración a SameSite=Lax: los navegadores son cada vez más estrictos. Verifica que tus cookies están alineadas con el nuevo estándar.
Cookies entre dominios: CHIPS / Partitioned cookies para embeds. Aquí ves si el flag está bien puesto.

Para inspeccionar cabeceras HTTP, usa nuestro inspector de cabeceras HTTP. Para una referencia de cabeceras, mira la referencia de cabeceras HTTP. Para códigos de estado HTTP, usa la referencia de códigos.

Preguntas y respuestas

Son dos direcciones: Set-Cookie la envía el servidor al navegador ("recuerda esta cookie con estos atributos"). Cookie la envía el navegador al servidor en cada petición siguiente ("aquí está lo que guardo para ti"). Set-Cookie tiene atributos (Expires, Path, Secure...); Cookie es solo una lista de pares name=value separados por `; `.

Parser y constructor de cabeceras Cookie / Set-Cookie

Cómo se usa

Parsear: pega una cabecera completa `Set-Cookie:` (o varias líneas) o una cabecera `Cookie:`; detectamos ambas. Obtienes una tabla con atributos y una evaluación de seguridad.

Los valores largos se truncan con un enlace "Ver más". El botón "Copiar" se lleva la línea entera de la cookie.

Las píldoras de color muestran SameSite (rojo=None, verde=Lax, azul=Strict), Priority (Low/Medium/High) y Partitioned (CHIPS).

Construir: introduce nombre y valor, elige Max-Age o Expires (mutuamente excluyentes), define Path, Domain, activa Secure/HttpOnly/Partitioned, elige SameSite y Priority.

El botón "Valores seguros" inserta una configuración que cualquier auditor aprobaría: Secure + HttpOnly + Lax + duración de 24h.

Copia la cabecera `Set-Cookie:` resultante y pégala en la cabecera de respuesta de tu backend o en tus tests con cURL/HTTPie.

Cuándo te resulta útil

Situaciones reales al trabajar con sesiones y seguridad:

Depurar logins: "¿por qué no se mantiene mi sesión?". Pega la cabecera Set-Cookie de DevTools y comprueba si tiene Secure, el dominio correcto o si SameSite bloquea peticiones cross-site.
Auditoría de seguridad: revisar cookies de una app legada, cazando las que no tienen HttpOnly (expuestas a XSS) o Secure (expuestas a MITM). Tienes la lista de problemas en un segundo.
Escribir cookies nuevas: diseñar un endpoint de login y querer "hacerlo bien". "Valores seguros" muestra cómo debería ser un Set-Cookie en 2026.
Tests con cURL: copia una cabecera Set-Cookie de DevTools, parséala, retoca y pega en un script de prueba con `-H "Cookie: ..."`.
Migración a SameSite=Lax: los navegadores son cada vez más estrictos. Verifica que tus cookies están alineadas con el nuevo estándar.
Cookies entre dominios: CHIPS / Partitioned cookies para embeds. Aquí ves si el flag está bien puesto.

Preguntas y respuestas

Parser y constructor de cookies

Parser y constructor de cabeceras Cookie / Set-Cookie

Cómo se usa

Cuándo te resulta útil

Preguntas y respuestas

Herramientas relacionadas

Inspector de cabeceras HTTP

Códigos de estado HTTP

Buscador de tipos MIME

Probador de peticiones HTTP

Parser y constructor de cookies

Parser y constructor de cabeceras Cookie / Set-Cookie

Cómo se usa

Cuándo te resulta útil

Preguntas y respuestas

Herramientas relacionadas

Inspector de cabeceras HTTP

Códigos de estado HTTP

Buscador de tipos MIME

Probador de peticiones HTTP