Co znaczy flaga Secure?

"**Wyślij to ciasteczko TYLKO przez HTTPS**". Bez tej flagi ciasteczko leci jawnie przez HTTP - każdy w sieci Wi-Fi może je przechwycić ([[atak MITM||Man in the Middle - ktoś między Tobą a serwerem może czytać i modyfikować ruch sieciowy]]). Dziś każde ciasteczko sesyjne POWINNO mieć Secure.

"**Nie dawaj tego ciasteczka JavaScriptowi**". `document.cookie` go nie zobaczy - przeglądarka wysyła je w nagłówkach automatycznie, ale skrypt na stronie nie ma do niego dostępu. Chroni przed kradzieżą sesji przez [[XSS||Cross-Site Scripting - atak gdzie złośliwy skrypt na stronie wykrada dane użytkownika]]: nawet jeśli atakujący wstrzyknie skrypt, nie ukradnie ID sesji.

Kontroluje, **kiedy przeglądarka wyśle ciasteczko w żądaniach z innej strony** (cross-site). **Lax** (domyślny) = wyślij przy zwykłej nawigacji, ale nie przy POST z innej strony. **Strict** = wyślij tylko przy żądaniach z tej samej strony. **None** = zawsze wysyłaj (wymaga Secure). Chroni przed [[CSRF||Cross-Site Request Forgery - atak gdzie obca strona w Twoim imieniu wysyła żądanie do innej strony, np. przelewu]].

Co znaczy SameSite=None wymaga Secure?

Od 2020 roku **wszystkie przeglądarki** odrzucają ciasteczko z `SameSite=None`, jeśli nie ma flagi `Secure`. Logika: jeśli pozwalasz na wysyłanie cross-site, MUSISZ to robić tylko po HTTPS - inaczej atakujący w sieci łatwo przechwyci. Nasz parser to wykrywa i ostrzega.

Czemu warto ustawiać Max-Age zamiast Expires?

**Max-Age** to liczba **sekund od teraz** - nie wymaga znajomości aktualnej daty/strefy. **Expires** to **bezwzględna data** w GMT. Max-Age jest prostsze do liczenia i bardziej odporne na rozjazd zegarów. Wszystkie nowoczesne przeglądarki rozumieją Max-Age. Jeśli oba ustawisz - **wygrywa Max-Age** (RFC 6265).

Co to są Partitioned cookies (CHIPS)?

**Cookies Having Independent Partitioned State** - nowy standard Chrome (i kolejnych przeglądarek), gdzie ciasteczko osadzone w iframe (np. widget) jest **partycjonowane przez stronę nadrzędną**. Tradycyjnie ten sam tracker zbierał dane z wielu stron - z CHIPS każda strona ma własny, niezależny pojemnik. Flaga: `Partitioned`.

Co znaczy Priority w ciasteczku?

**Nieoficjalne rozszerzenie Chrome**: gdy przeglądarka **zbliża się do limitu** liczby ciasteczek dla domeny, najpierw usuwa Low, potem Medium, na końcu High. Ustaw High dla ciasteczek krytycznych (sesja, CSRF token), Low dla śmieciowych (preferencje motywu). Inne przeglądarki ignorują.

Co znaczy kropka przed domeną (.example.com)?

Wiodąca kropka oznacza "**i wszystkie subdomeny**". `.example.com` = www.example.com, api.example.com, blog.example.com. Bez kropki = **tylko dokładnie ta domena**. Dziś przeglądarki traktują to jednolicie - `example.com` w atrybucie też pokrywa subdomeny.

Jakie atrybuty są obowiązkowe?

**Żadne** - sam `name=value` jest wystarczający (utworzy się "session cookie", żyjący do zamknięcia przeglądarki). Ale dla bezpiecznego logowania **zalecane minimum** to: `name=value; Secure; HttpOnly; SameSite=Lax; Path=/; Max-Age=...`. To właśnie wstawia "Bezpieczne domyślne".

Parser i generator Cookie - darmowy

Wklej Cookie lub Set-Cookie

Sparsowane ciasteczka (4)Set-Cookie

session_id
Wartość
abc123def456
Expires
13.05.2027, 09:14:22za 359d
Path
/
Domain
.example.comsubdomeny
Secure HttpOnlySameSite=LaxPriority=High
- Domena zaczyna się od kropki (.example.com) - ciasteczko dostępne na wszystkich subdomenach.
csrf_token
Wartość
xY9z-K3qP_aB
Czas życia
Sesyjne (do zamknięcia przeglądarki)
Path
/
Secure HttpOnlySameSite=Strict
- Brak HttpOnly - ciasteczko dostępne dla JavaScriptu (document.cookie), podatne na XSS.
tracker
Wartość
ga_99887766
Max-Age
86400sza 1d
Path
/
Secure HttpOnlySameSite=None
- SameSite=None wymaga Secure - przeglądarka odrzuci to ciasteczko.
- Brak flagi Secure - ciasteczko przesyłane przez HTTP może być przechwycone (MITM).
- Brak HttpOnly - ciasteczko dostępne dla JavaScriptu (document.cookie), podatne na XSS.
cart
Wartość
item-001%2Citem-002
Max-Age
604800sza 7d
Path
/cart
Secure HttpOnlySameSite -
- Brak flagi Secure - ciasteczko przesyłane przez HTTP może być przechwycone (MITM).
- Brak SameSite - przeglądarki traktują domyślnie jak Lax, ale lepiej ustawić jawnie.

Parser i generator nagłówków Cookie / Set-Cookie

Ciasteczka to standardowy sposób na trzymanie sesji i preferencji użytkownika w przeglądarce. Nagłówki Cookie (od przeglądarki) i Set-Cookie (od serwera) wyglądają podobnie, ale Set-Cookie ma kupę atrybutów: Expires, Path, Domain, Secure, HttpOnly, SameSite.

Tu wklejasz nagłówek albo budujesz go od zera. W trybie Parsuj rozbieramy każde ciasteczko na atrybuty, pokazujemy datę wygaśnięcia ("za 3 dni" / "EXPIRED") i oceniamy bezpieczeństwo: brak Secure, brak HttpOnly, SameSite=None bez Secure - dostaniesz ostrzeżenie z konkretnym opisem.

W trybie Buduj projektujesz Set-Cookie krok po kroku z formularzem: pola, daty, przełączniki Apple-style. Bezpieczne domyślne ustawiają Secure + HttpOnly + SameSite=Lax + Max-Age=24h jednym kliknięciem.

Jak korzystać

Parsuj: wklej cały nagłówek `Set-Cookie:` (lub wiele linii) albo `Cookie:` - rozpoznamy oba. Pokażemy tabelę z atrybutami i oceną bezpieczeństwa.

Długie wartości są obcinane z linkiem "Pokaż więcej". Przyciskiem "Kopiuj" wyciągniesz pełną linię ciasteczka.

W kolorowych pillach widać SameSite (czerwony=None, zielony=Lax, niebieski=Strict), Priority (Low/Medium/High) i Partitioned (CHIPS).

Buduj: wpisz nazwę i wartość, wybierz Max-Age albo Expires (wzajemnie wykluczające), ustaw Path, Domain, włącz Secure/HttpOnly/Partitioned, wskaż SameSite i Priority.

Przyciskiem "Bezpieczne domyślne" wstawisz konfigurację, której nie powstydziłby się audytor: Secure + HttpOnly + Lax + 24h ważności.

Skopiuj końcowy `Set-Cookie:` i wklej do nagłówka odpowiedzi w swoim backendzie albo do testów w cURL/HTTPie.

Do czego się przydaje

Realne sytuacje w pracy z sesjami i bezpieczeństwem:

Debug logowania - "czemu sesja się nie trzyma?". Wklej nagłówek Set-Cookie z DevTools, sprawdź czy ma Secure, czy domena jest poprawna, czy SameSite nie blokuje przez cross-site.
Audyt bezpieczeństwa - przeglądasz ciasteczka starszej aplikacji, szukasz tych bez HttpOnly (podatne na XSS) i bez Secure (podatne na MITM). Tu dostaniesz listę wad w sekundę.
Pisanie nowych ciasteczek - projektujesz endpoint logowania, chcesz "zrobić to dobrze". "Bezpieczne domyślne" pokażą, jak powinien wyglądać Set-Cookie w 2026 roku.
Testy z cURL - kopiujesz nagłówek Set-Cookie z DevTools przeglądarki, parsujesz, dostosowujesz, wklejasz do skryptu testowego z `-H "Cookie: ..."`.
Migracja na SameSite=Lax - przeglądarki coraz bardziej rygorystyczne. Sprawdź, czy Twoje ciasteczka są zgodne z nowym standardem.
Cookie cross-domain - CHIPS / Partitioned cookies dla embedów. Tu zobaczysz, czy flaga jest poprawnie ustawiona.

Aby sprawdzić nagłówki HTTP, użyj naszego inspektora nagłówków HTTP. Do referencji nagłówków, zajrzyj do referencji nagłówków HTTP. Do kodów statusów HTTP, użyj referencji kodów HTTP.

Pytania i odpowiedzi

To dwa kierunki: Set-Cookie wysyła serwer do przeglądarki ("zapamiętaj to ciasteczko z tymi atrybutami"). Cookie wysyła przeglądarka do serwera w każdym kolejnym requeście ("oto co dla ciebie trzymam"). Set-Cookie ma atrybuty (Expires, Path, Secure...), Cookie to tylko lista nazwa=wartość, oddzielonych `; `.

Parser i generator nagłówków Cookie / Set-Cookie

Jak korzystać

Parsuj: wklej cały nagłówek `Set-Cookie:` (lub wiele linii) albo `Cookie:` - rozpoznamy oba. Pokażemy tabelę z atrybutami i oceną bezpieczeństwa.

Długie wartości są obcinane z linkiem "Pokaż więcej". Przyciskiem "Kopiuj" wyciągniesz pełną linię ciasteczka.

W kolorowych pillach widać SameSite (czerwony=None, zielony=Lax, niebieski=Strict), Priority (Low/Medium/High) i Partitioned (CHIPS).

Buduj: wpisz nazwę i wartość, wybierz Max-Age albo Expires (wzajemnie wykluczające), ustaw Path, Domain, włącz Secure/HttpOnly/Partitioned, wskaż SameSite i Priority.

Przyciskiem "Bezpieczne domyślne" wstawisz konfigurację, której nie powstydziłby się audytor: Secure + HttpOnly + Lax + 24h ważności.

Skopiuj końcowy `Set-Cookie:` i wklej do nagłówka odpowiedzi w swoim backendzie albo do testów w cURL/HTTPie.

Do czego się przydaje

Realne sytuacje w pracy z sesjami i bezpieczeństwem:

Debug logowania - "czemu sesja się nie trzyma?". Wklej nagłówek Set-Cookie z DevTools, sprawdź czy ma Secure, czy domena jest poprawna, czy SameSite nie blokuje przez cross-site.
Audyt bezpieczeństwa - przeglądasz ciasteczka starszej aplikacji, szukasz tych bez HttpOnly (podatne na XSS) i bez Secure (podatne na MITM). Tu dostaniesz listę wad w sekundę.
Pisanie nowych ciasteczek - projektujesz endpoint logowania, chcesz "zrobić to dobrze". "Bezpieczne domyślne" pokażą, jak powinien wyglądać Set-Cookie w 2026 roku.
Testy z cURL - kopiujesz nagłówek Set-Cookie z DevTools przeglądarki, parsujesz, dostosowujesz, wklejasz do skryptu testowego z `-H "Cookie: ..."`.
Migracja na SameSite=Lax - przeglądarki coraz bardziej rygorystyczne. Sprawdź, czy Twoje ciasteczka są zgodne z nowym standardem.
Cookie cross-domain - CHIPS / Partitioned cookies dla embedów. Tu zobaczysz, czy flaga jest poprawnie ustawiona.

Pytania i odpowiedzi

Parser i generator Cookie

Parser i generator nagłówków Cookie / Set-Cookie

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Inspektor nagłówków HTTP

Kody statusów HTTP

Wyszukiwarka MIME types

Tester zapytań HTTP

Parser i generator Cookie

Parser i generator nagłówków Cookie / Set-Cookie

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Inspektor nagłówków HTTP

Kody statusów HTTP

Wyszukiwarka MIME types

Tester zapytań HTTP