Set-Cookie Inspect
Cookie / Set-Cookie の属性と整合性をブラウザ内で確認します。入力はサーバーへ送信しません。運用事故の一次切り分けに使えます。
状態
ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。
使い方
Set-Cookie か Response Headers を貼り付けて「解析」。属性や注意点を整理します。
注意(このツール)
- Set-Cookie: のヘッダー行でも解析できます(複数行の貼り付けもOK)。
- 値は可視化しますが、実運用の機密値は貼り付けないでください。
このページについて
何をするツール?
Set-Cookie を分解し、Domain/Path/Expires/Max-Age/SameSite/Secure/HttpOnly を一覧表示します。
Cookieが送られない/保存されない原因の切り分けや、セキュリティ設定の確認に向きます。
基本(Set-Cookie と Cookie)
- Set-Cookie はレスポンス側で「保存してほしいCookie」を指示します。
- Cookie はリクエスト側で「送信するCookie」を載せます。
- Set-Cookie は1行につき1 Cookie です(複数行で複数Cookie)。
主要な属性(ざっくり)
- Domain/Path: 送信先の範囲
- Expires/Max-Age: 有効期限(Max-Age が優先)
- Secure: HTTPSのみ送信
- HttpOnly: JSから参照不可
- SameSite: クロスサイト送信の制御
SameSite と Secure の関係
SameSite=None を使う場合、一般に Secure の併用が必要です(ブラウザ実装の慣例)。
クロスサイトのログインや埋め込みでCookieが必要な場合、SameSiteの指定が重要です。
Cookie Prefix(__Host- / __Secure-)
- __Secure- は Secure が必須です。
- __Host- は Secure + Path=/ + Domain無しが必須です。
- Prefix違反はブラウザが無視する場合があります。
よくある落とし穴
- SameSite=None なのに Secure が無く、Cookieが保存されない
- Domain/Path が合わず、想定のリクエストに送られない
- Expires/Max-Age の設定ミスで即失効する
- 複数Set-Cookieのうち一部だけ上書きされる(同名/Path違い)
切り分け手順(おすすめ)
- Response Headers Parser で Set-Cookie を抽出
- このツールで属性と注意点を整理
- Cookie Inspect で Cookie ヘッダー(送信側)も確認
関連ツール
- Cookie Inspect
- Set-Cookie Builder
- Response Headers Parser
- Request Headers Parser
このツールでできること
- Set-Cookie の属性分解と一覧表示
- SameSite/Secure/HttpOnly のチェック
- 複数行の Set-Cookie に対応
注意(運用)
- ブラウザ実装差や既定値変更で挙動が変わる場合があります。
- 同名Cookieの重複やPath/Domain差分は運用事故の原因になります。
参照仕様
- RFC 6265(HTTP Cookies)
- RFC 6265bis(Cookie Prefix/SameSite)
- MDN: Set-Cookie
FAQ
SameSite=None なのに保存されない
Secure が必要です。HTTPSで配信されているかも確認してください。
Max-Age と Expires はどちらが優先?
一般に Max-Age が優先されます。両方ある場合の挙動差に注意してください。
Set-Cookie が複数あるときは?
行ごとに別Cookieとして扱われます。名前が同じでも Path/Domain が違うと別扱いです。
参考リンク
次に見る(診断順)
site_map ルールに基づいて、次に確認すべきページを表示しています。
- Cookie Domain/Path Matcher — Domain/Path/Secure 条件でCookie送信可否を判定
- SameSite Cookie Simulator — SameSite と文脈からCookie送信可否をシミュレーション
- Set-Cookie Conflict Checker — 同名Cookie競合と上書きリスクを検出
- Cookie Security Audit — Secure/HttpOnly/SameSite を監査
- Cookie Size Checker — Cookie ヘッダーサイズを見積もり上限超過を点検
- Set-Cookie が保存されない時の診断手順 — Domain/Path/Secure/SameSite を順に確認して Cookie 非保持の原因を切り分ける
- OAuth戻りでログインが維持されない時の診断手順 — IdP戻りで起きる Cookie 不達を SameSite・Secure・Path/Domain・競合で順に切り分ける
- 同名Cookie競合で不安定な時の診断手順 — 同名CookieのPath/Domain差分・上書き順・送信衝突を整理して不安定挙動を解消する
同テーマの導線
レスポンスヘッダー診断
生ヘッダーから Retry-After / Server-Timing / Link / Content-Type を段階的に解析
- HTTP Header Parser — 生ヘッダーを構造化して一覧化
- Response Headers Parser — レスポンスヘッダーを構造化解析
- Cookie Domain/Path Matcher — Domain/Path/Secure 条件でCookie送信可否を判定
- SameSite Cookie Simulator — SameSite と文脈からCookie送信可否をシミュレーション
- Set-Cookie Conflict Checker — 同名Cookie競合と上書きリスクを検出
- Cookie Size Checker — Cookie ヘッダーサイズを見積もり上限超過を点検
- Retry-After Inspect — Retry-After を解析して再試行待機を確認
- Server-Timing Inspect — Server-Timing を分解して遅延指標を確認
- Link Header Inspect — Link ヘッダーを解析して rel/as/type を確認
- Content-Type Inspect — Content-Type を解析してMIME/charsetを確認
- X-Content-Type-Options Inspect — X-Content-Type-Options を解析して nosniff を確認
- HTTP Status Inspect — HTTPステータスコードを解析して対処方針を確認