Que fait le flag Secure ?

"**Envoie ce cookie UNIQUEMENT en HTTPS**". Sans lui, le cookie voyage en clair en HTTP : n'importe qui sur le même Wi-Fi peut l'intercepter ([[attaque MITM||Man in the Middle : quelqu'un entre vous et le serveur peut lire et modifier votre trafic]]). Aujourd'hui, chaque cookie de session DEVRAIT avoir Secure.

"**Ne donne pas ce cookie à JavaScript**". `document.cookie` ne le verra pas : le navigateur l'envoie dans les en-têtes automatiquement, mais les scripts de la page n'y ont pas accès. Protège contre le vol de session via [[XSS||Cross-Site Scripting : une attaque où un script malveillant sur une page vole les données utilisateur]] : même si un attaquant injecte un script, il ne peut pas voler l'ID de session.

Il contrôle **quand le navigateur envoie le cookie sur des requêtes cross-site**. **Lax** (défaut) = envoyé sur la navigation top-level mais pas sur les POST cross-site. **Strict** = uniquement sur des requêtes same-site. **None** = toujours envoyé (exige Secure). Protège contre [[CSRF||Cross-Site Request Forgery : une attaque où une page étrangère déclenche une requête vers un autre site en votre nom, par ex. un virement]].

Pourquoi SameSite=None exige-t-il Secure ?

Depuis 2020, **tous les navigateurs majeurs** rejettent un cookie avec `SameSite=None` s'il n'a pas le flag `Secure`. La logique : si vous autorisez l'envoi cross-site, vous DEVEZ le faire uniquement en HTTPS, sinon un attaquant réseau l'intercepte trivialement. Notre parser signale ce cas.

Pourquoi préférer Max-Age à Expires ?

**Max-Age** est un nombre de **secondes depuis maintenant**, pas besoin de connaître la date ou le fuseau actuels. **Expires** est une **date GMT absolue**. Max-Age est plus facile à calculer et résilient au décalage d'horloge. Tous les navigateurs modernes comprennent Max-Age. Si vous définissez les deux, **Max-Age gagne** (RFC 6265).

Que sont les cookies Partitioned (CHIPS) ?

**Cookies Having Independent Partitioned State** : un nouveau standard dans Chrome (et autres navigateurs) où un cookie intégré dans une iframe (par ex. un widget) est **partitionné par le site top-level**. Traditionnellement, le même tracker collectait des données à travers plein de sites, avec CHIPS chaque site top-level a son propre bucket indépendant. Flag : `Partitioned`.

Que signifie Priority sur un cookie ?

**Une extension Chrome uniquement** : quand le navigateur **approche la limite de cookies par domaine**, il évince d'abord Low, puis Medium, puis High. Mettez High pour les cookies critiques (session, token CSRF), Low pour les cosmétiques (préférence de thème). Les autres navigateurs l'ignorent.

Que signifie un point devant un domaine (.example.com) ?

Un point devant signifiait "**et tous les sous-domaines**". `.example.com` = www.example.com, api.example.com, blog.example.com. Sans le point = **seulement cet hôte exact**. Les navigateurs modernes traitent les deux formes de la même façon : `example.com` dans l'attribut couvre aussi les sous-domaines.

Quels attributs sont obligatoires ?

**Aucun** : juste `name=value` suffit (vous obtenez un "cookie de session", vivant jusqu'à la fermeture du navigateur). Mais pour un login sûr, le **minimum recommandé** est : `name=value; Secure; HttpOnly; SameSite=Lax; Path=/; Max-Age=...`. C'est exactement ce que "Secure defaults" insère.

Parseur et builder de cookies - gratuit

Coller un Cookie ou Set-Cookie

Parsed cookies (4)Set-Cookie

session_id
Value
abc123def456
Expires
5/13/2027, 9:14:22 AMin 351d
Path
/
Domain
.example.comsubdomains
Secure HttpOnlySameSite=LaxPriority=High
- Domain commence par un point (.example.com) — cookie partagé sur tous les sous-domaines.
csrf_token
Value
xY9z-K3qP_aB
Lifetime
Session (jusqu'à la fermeture du navigateur)
Path
/
Secure HttpOnlySameSite=Strict
- Pas de HttpOnly — cookie accessible via JavaScript (document.cookie), exposé aux XSS.
tracker
Value
ga_99887766
Max-Age
86400sin 1d
Path
/
Secure HttpOnlySameSite=None
- SameSite=None exige Secure — le navigateur va rejeter ce cookie.
- Pas de flag Secure — un cookie envoyé en HTTP est vulnérable à l'interception MITM.
- Pas de HttpOnly — cookie accessible via JavaScript (document.cookie), exposé aux XSS.
cart
Value
item-001%2Citem-002
Max-Age
604800sin 7d
Path
/cart
Secure HttpOnlySameSite -
- Pas de flag Secure — un cookie envoyé en HTTP est vulnérable à l'interception MITM.
- Pas de SameSite — les navigateurs prennent Lax par défaut, mais il est plus sûr de le définir explicitement.

Parser et builder d'en-tête Cookie / Set-Cookie

Les cookies sont la façon standard de garder une session et les préférences utilisateur dans le navigateur. L'en-tête Cookie (navigateur vers serveur) et l'en-tête Set-Cookie (serveur vers navigateur) se ressemblent, mais Set-Cookie a une pile d'attributs : Expires, Path, Domain, Secure, HttpOnly, SameSite.

Ici vous pouvez coller un en-tête ou en construire un de zéro. En mode Parse, nous décomposons chaque cookie en attributs, affichons la date d'expiration ("dans 3 jours" / "EXPIRÉ") et évaluons la sécurité : Secure manquant, HttpOnly manquant, SameSite=None sans Secure, vous obtenez un avertissement clair avec description.

En mode Build, vous concevez un Set-Cookie étape par étape avec un formulaire : champs, dates, interrupteurs style Apple. Les Secure defaults définissent Secure + HttpOnly + SameSite=Lax + Max-Age=24h en un seul clic.

Comment l'utiliser

Parse : collez un en-tête `Set-Cookie:` complet (ou plusieurs lignes) ou un en-tête `Cookie:`, nous détectons les deux. Vous obtenez un tableau avec les attributs et une évaluation de sécurité.

Les longues valeurs sont tronquées avec un lien "Show more". Le bouton "Copy" récupère la ligne de cookie complète.

Des pastilles colorées affichent SameSite (rouge=None, vert=Lax, bleu=Strict), Priority (Low/Medium/High) et Partitioned (CHIPS).

Build : saisissez un nom et une valeur, choisissez Max-Age ou Expires (mutuellement exclusifs), définissez Path, Domain, activez Secure/HttpOnly/Partitioned, choisissez SameSite et Priority.

Le bouton "Secure defaults" dépose une configuration qu'un auditeur approuverait : Secure + HttpOnly + Lax + durée de vie 24h.

Copiez le `Set-Cookie:` résultant et collez-le dans l'en-tête de réponse de votre backend ou dans vos tests cURL/HTTPie.

Quand c'est utile

Situations réelles quand on travaille avec des sessions et la sécurité :

Débogage de login : "pourquoi ma session ne persiste pas ?". Collez l'en-tête Set-Cookie depuis DevTools et vérifiez s'il a Secure, le bon domaine, si SameSite bloque les requêtes cross-site.
Audit de sécurité : passer en revue les cookies d'une app legacy, chasser ceux sans HttpOnly (exposés à XSS) ou Secure (exposés à MITM). Vous obtenez la liste des problèmes en une seconde.
Écrire de nouveaux cookies : concevoir un endpoint de login en voulant "bien faire". "Secure defaults" montre à quoi devrait ressembler un Set-Cookie en 2026.
Test cURL : copier un en-tête Set-Cookie depuis DevTools du navigateur, le parser, l'ajuster, le coller dans un script de test avec `-H "Cookie: ..."`.
Migration SameSite=Lax : les navigateurs deviennent toujours plus stricts. Vérifiez que vos cookies sont alignés avec le nouveau standard.
Cookies cross-domain : CHIPS / cookies Partitioned pour les embeds. Ici vous pouvez voir que le flag est défini correctement.

Pour inspecter les en-têtes HTTP, utilisez notre inspecteur d'en-têtes HTTP. Pour une référence des en-têtes, voir la référence HTTP headers. Pour les codes de statut HTTP, utilisez la référence des codes de statut.

Questions et réponses

Ce sont deux directions : Set-Cookie est envoyé par le serveur au navigateur ("souviens-toi de ce cookie avec ces attributs"). Cookie est envoyé par le navigateur au serveur dans chaque requête suivante ("voici ce que je garde pour toi"). Set-Cookie a des attributs (Expires, Path, Secure...), Cookie est juste une liste de paires nom=valeur séparées par `; `.

Parser et builder d'en-tête Cookie / Set-Cookie

Comment l'utiliser

Les longues valeurs sont tronquées avec un lien "Show more". Le bouton "Copy" récupère la ligne de cookie complète.

Des pastilles colorées affichent SameSite (rouge=None, vert=Lax, bleu=Strict), Priority (Low/Medium/High) et Partitioned (CHIPS).

Le bouton "Secure defaults" dépose une configuration qu'un auditeur approuverait : Secure + HttpOnly + Lax + durée de vie 24h.

Copiez le `Set-Cookie:` résultant et collez-le dans l'en-tête de réponse de votre backend ou dans vos tests cURL/HTTPie.

Quand c'est utile

Situations réelles quand on travaille avec des sessions et la sécurité :

Débogage de login : "pourquoi ma session ne persiste pas ?". Collez l'en-tête Set-Cookie depuis DevTools et vérifiez s'il a Secure, le bon domaine, si SameSite bloque les requêtes cross-site.
Audit de sécurité : passer en revue les cookies d'une app legacy, chasser ceux sans HttpOnly (exposés à XSS) ou Secure (exposés à MITM). Vous obtenez la liste des problèmes en une seconde.
Écrire de nouveaux cookies : concevoir un endpoint de login en voulant "bien faire". "Secure defaults" montre à quoi devrait ressembler un Set-Cookie en 2026.
Test cURL : copier un en-tête Set-Cookie depuis DevTools du navigateur, le parser, l'ajuster, le coller dans un script de test avec `-H "Cookie: ..."`.
Migration SameSite=Lax : les navigateurs deviennent toujours plus stricts. Vérifiez que vos cookies sont alignés avec le nouveau standard.
Cookies cross-domain : CHIPS / cookies Partitioned pour les embeds. Ici vous pouvez voir que le flag est défini correctement.

Questions et réponses

Parseur et builder de cookies

Parser et builder d'en-tête Cookie / Set-Cookie

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Inspecteur en-têtes HTTP

Codes de statut HTTP

Recherche types MIME

Testeur requêtes HTTP

Parseur et builder de cookies

Parser et builder d'en-tête Cookie / Set-Cookie

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Inspecteur en-têtes HTTP

Codes de statut HTTP

Recherche types MIME

Testeur requêtes HTTP