Cookie Security Audit
Cookie / Set-Cookie の属性と整合性をブラウザ内で確認します。入力はサーバーへ送信しません。運用事故の一次切り分けに使えます。
状態
ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。
使い方
Set-Cookie 行を貼り付けて「監査」。Secure / HttpOnly / SameSite などの不足や不整合を確認します。
注意(このツール)
- ブラウザ差分と仕様更新により、同じ属性でも実際の挙動が異なる場合があります。
- 実運用では Path/Domain 競合や複数Cookie上書きも併せて確認してください。
このページについて
何をするツール?
Secure/HttpOnly/SameSite の有無を一括で確認し、危険な組み合わせを警告します。
推奨(実務)
- SameSite=None は必ず Secure とセット
- 機密Cookieは HttpOnly を付ける
- 可能なら SameSite=Lax 以上
関連ツール
- Set-Cookie Inspect
- Cookie Inspect
このツールでできること
- Secure/HttpOnly/SameSite の有無を一覧化
- 危険な組み合わせの検出
切り分け手順(おすすめ)
- Cookie / Set-Cookie を貼り付ける
- 属性(Secure/HttpOnly/SameSite等)を確認する
- Domain/Path競合を関連ツールで確認する
注意(運用)
- ブラウザ実装差や既定値変更で挙動が変わる場合があります。
- 同名Cookieの重複やPath/Domain差分は運用事故の原因になります。
参照仕様
- MDN: Set-Cookie
FAQ
SameSite=None で Secure は必須ですか?
はい。実運用では SameSite=None と Secure はセットで扱います。
HttpOnly を付けると何が防げますか?
JavaScript からのCookie参照を抑制し、XSS時のセッション窃取リスクを下げます。
参考リンク
次に見る(診断順)
site_map ルールに基づいて、次に確認すべきページを表示しています。
- Set-Cookie が保存されない時の診断手順 — Domain/Path/Secure/SameSite を順に確認して Cookie 非保持の原因を切り分ける
- OAuth戻りでログインが維持されない時の診断手順 — IdP戻りで起きる Cookie 不達を SameSite・Secure・Path/Domain・競合で順に切り分ける
- Cookie障害の運用チェックリスト — 保存失敗・OAuth戻り失敗・同名競合を一本化し、トリアージから恒久対策まで運用手順を標準化する
- Cookie系ツールの使い分け — Set-Cookie / Domain-Path / SameSite / 競合 / サイズを症状別に切り分ける
- パスワードポリシー生成 — 要件からポリシー文とバリデーション正規表現を作成
- URL Safe Random — URL/ファイル名に使える安全文字の乱数文字列を生成
- Token Format Checker — 文字列からJWT/UUID/Hex/Base64URL候補を推定
- パスワードシード生成 — シードと条件から再現可能なパスワードを導出