ZenovayTools

Analizador de Cookies HTTP

Analiza cadenas de encabezados HTTP Set-Cookie en campos estructurados: atributos de nombre, valor, dominio, ruta, vencimiento, Secure, HttpOnly y SameSite.

Load sample

Cómo usar Analizador de Cookies HTTP

  1. 1Pega una cadena de encabezado Set-Cookie en el analizador.
  2. 2Ve cada atributo desglosado (nombre, valor, dominio, etc.).
  3. 3Verifica banderas de seguridad como HttpOnly, Secure y SameSite.
  4. 4Entiende el vencimiento y alcance de la cookie.
ZenovayAnalytics

Ve quién está en tu sitio ahora mismo.

  • Seguimiento de visitantes en tiempo real
  • Privacidad primero, sin aviso de cookies
  • Configurado en dos minutos
Descubre Zenovay

Herramientas relacionadas

Formateador y Validador JSON
Formatea, valida y embellece datos JSON con resaltado de sintaxis y detección de errores.
Decodificador JWT
Decodifica e inspecciona tokens JWT. Consulta el encabezado, la carga útil y verifica firmas.
Base64 Codificar/Decodificar
Codifica texto a Base64 o decodifica Base64 a texto. Soporta UTF-8 y datos binarios.
Codificador/Decodificador de URL
Codifica o decodifica componentes de URL. Maneja caracteres especiales, cadenas de consulta y URLs completas.

Preguntas frecuentes

¿Qué es un encabezado Set-Cookie?
El encabezado de respuesta HTTP Set-Cookie es usado por un servidor para enviar una cookie al navegador del usuario. Formato: Set-Cookie: nombre=valor; Path=/; Domain=example.com; Expires=Thu, 01 Jan 2026 00:00:00 GMT; HttpOnly; Secure; SameSite=Strict. El navegador almacena la cookie y la envía de vuelta con las solicitudes posteriores a dominios y rutas coincidentes a través del encabezado de solicitud Cookie:
¿Qué significa HttpOnly?
El indicador HttpOnly impide que JavaScript acceda a la cookie a través de document.cookie. Esto protege contra ataques XSS (scripting entre sitios) que intentan robar cookies de sesión. Las cookies de sesión autenticadas siempre deben tener HttpOnly establecido. Nota: HttpOnly no impide que la cookie se envíe con las solicitudes — solo impide el acceso desde scripts del lado del cliente.
¿Qué significa Secure para las cookies?
El indicador Secure garantiza que la cookie solo se envíe a través de conexiones HTTPS. Sin Secure, la cookie se envía a través de HTTP simple, donde puede ser interceptada por atacantes en la red (ataques MITM). Todas las cookies que contienen datos sensibles (tokens de sesión, autenticación) deben tener Secure establecido. Secure no tiene efecto en localhost.
¿Qué es SameSite?
SameSite controla cuándo se envían las cookies con solicitudes entre sitios. Strict: la cookie solo se envía para solicitudes del mismo sitio (más seguro, rompe los flujos OAuth). Lax: la cookie se envía para solicitudes del mismo sitio y navegaciones entre sitios de nivel superior (solo GET) — el valor predeterminado en los navegadores modernos. None: la cookie se envía para todas las solicitudes entre sitios — requiere el indicador Secure. SameSite=None es necesario para las cookies de terceros (análisis, contenido incrustado).
¿Qué es el prefijo de cookie (__Secure- y __Host-)?
Prefijo __Secure-: la cookie debe tener el indicador Secure y ser establecida desde HTTPS. Prefijo __Host-: la cookie debe tener el indicador Secure, ningún atributo Domain y Path=/. El prefijo Host es más estricto y evita el secuestro de cookies de subdominios. Estos prefijos son aplicados por el navegador — un servidor no puede anularlos. Use __Host- para las cookies de sesión más seguras cuando no se necesita compartir subdominios.