Analyseur de Sécurité des Cookies
Analysez les cookies renvoyés par n'importe quelle URL pour les attributs de sécurité. Vérifie HttpOnly, Secure, SameSite (Strict/Lax/None), la portée du domaine, l'expiration et signale les configurations non sécurisées. Obtenez un score de sécurité par cookie et des recommandations.
Comment utiliser Analyseur de Sécurité des Cookies
- 1Entrez une URL pour analyser ses cookies.
- 2L'outil récupère l'URL et collecte tous les en-têtes de réponse Set-Cookie.
- 3Chaque cookie est analysé pour HttpOnly, Secure, SameSite et d'autres attributs de sécurité.
- 4Les problèmes et recommandations sont affichés pour chaque cookie non sécurisé.
ZenovayAnalytics
Analytics sans aucun bandeau cookies.
- Suivi des visiteurs en temps réel
- Vie privée d'abord, sans bandeau cookies
- Installé en deux minutes
Outils connexes
Générateur de Mot de Passe
Générez des mots de passe forts et aléatoires avec longueur, caractères et complexité personnalisables.Vérificateur de Force de Mot de Passe
Vérifiez la force de votre mot de passe. Obtenez un temps de fissuration estimé et des suggestions d'amélioration.Générateur HMAC
Générez des signatures HMAC en utilisant SHA-256, SHA-384 ou SHA-512 avec l'API Web Crypto.Chiffrement/Déchiffrement AES
Chiffrez et déchiffrez du texte avec AES-GCM et la dérivation de clé PBKDF2. S'exécute entièrement dans votre navigateur.Questions fréquemment posées
Quels attributs de sécurité chaque cookie devrait-il avoir ?▾
Chaque cookie de session ou d'authentification devrait avoir : (1) HttpOnly — empêche l'accès JavaScript, bloquant le vol de cookies par XSS ; (2) Secure — garantit que le cookie n'est envoyé que via HTTPS, empêchant l'interception ; (3) SameSite=Strict ou Lax — empêche les attaques CSRF en limitant l'envoi des cookies entre sites. Pour les cookies non sensibles (analytics, préférences), des paramètres plus souples peuvent être acceptables, mais les cookies critiques pour la sécurité doivent toujours avoir les trois.
Qu'est-ce que l'attribut SameSite et quelle valeur devrais-je utiliser ?▾
SameSite contrôle quand un cookie est envoyé avec des requêtes inter-sites. Strict : envoyé uniquement pour les requêtes du même site (le plus sécurisé, mais peut casser les flux OAuth et les liens depuis des courriels). Lax (par défaut dans les navigateurs modernes) : envoyé pour la navigation de premier niveau mais pas pour les requêtes API inter-sites. None : envoyé pour toutes les requêtes inter-sites — nécessite l'indicateur Secure.
Quelle est la différence entre les cookies de session et les cookies persistants ?▾
Les cookies de session n'ont pas d'attribut Expires ni Max-Age — ils sont supprimés lorsque la session du navigateur se termine. Les cookies persistants ont une date Expires ou une valeur Max-Age et survivent aux redémarrages du navigateur. Pour l'authentification, les cookies de session sont plus sécurisés (fenêtre d'exposition plus courte), mais peuvent être peu pratiques pour les fonctionnalités « se souvenir de moi ».
Pourquoi les cookies tiers peuvent-ils être bloqués ?▾
Les navigateurs abandonnent progressivement les cookies tiers pour des raisons de confidentialité. Chrome s'éloigne des cookies tiers, Safari et Firefox les bloquent déjà par défaut. Si vos cookies ont un attribut Domain défini sur un domaine différent, ils seront bloqués pour les requêtes inter-sites.
Pourquoi cet outil n'affiche-t-il que les cookies de la réponse initiale ?▾
L'analyseur récupère l'URL et inspecte les en-têtes Set-Cookie dans la réponse HTTP. Les cookies définis par JavaScript (document.cookie) après le chargement de la page ne sont pas visibles. Pour un audit complet des cookies, utilisez les outils de développement du navigateur.