概要
生の Set-Cookie ヘッダーを解析し、SameSite や Secure などの属性とブラウザ挙動上の問題をすばやく確認できます。
Parse raw Set-Cookie lines, expose effective attributes, and flag browser behaviors that commonly break auth and session flows.
`Path` を省略すると、ブラウザは Cookie を設定したリクエスト URL をもとに既定パスを推論します。この挙動は見落とされやすく、チームが想定したより狭いルートでしか Cookie が使えない原因になります。`Path=/` など明示的なスコープを付ける方が、意図もデバッグもはっきりします。
Supporting guides that connect this tool to the broader category workflow.
ログイン後に auth Cookie が消えたように見えるとき、バックエンド成功とブラウザの Cookie ポリシー拒否を切り分けるためのデバッグガイドです。
不正なリクエスト、認証失敗、権限不足、バリデーションエラーを混同せずに切り分けるための実践的な API デバッグ手順です。
フロントエンドが cookies や認証付きのリクエストを送るときに、Allow-Origin を `*` にしてしまう代表的な CORS ミスをブラウザ目線で整理します。
redirect_uri、ネストされた URL、query value をどの境界でエンコードすべきかを実例ベースで整理したガイドです。
とは
Set-Cookie ヘッダー検査ツールは、バックエンドが送ったつもりの設定ではなく、ブラウザが実際にどう解釈するかを考えるためのツールです。Cookie の不具合は、属性が 1 つ足りない、Path の既定値を誤解している、あるいはクロスサイトポリシーの組み合わせが本番だけで問題になる、といった形で起きることが多いです。
各 `Set-Cookie` 行を属性ごとに分解し、重要な警告を添えて見せることで、フロントエンドとバックエンドの受け渡し、障害対応、ローカル検証での Cookie デバッグをかなり短くできます。
の使い方
ログやブラウザ開発者ツールに表示された `Set-Cookie` ヘッダーを、そのまま 1 行ずつ貼り付けます。ツールは Cookie 名と値を属性から分離し、実際のフラグを表示したうえで、`SameSite=None` なのに `Secure` がない、`Path` がない、セッション系に見えるのに `HttpOnly` がない、といった代表的な問題を警告します。
使用例
例:
入力: `refresh_token=def456; Path=/auth; HttpOnly; SameSite=None`
この場合、`SameSite=None` が付いているのに `Secure` がないことをツールが強調します。現代のブラウザではこの組み合わせが拒否されやすく、レスポンス自体は正常でも、クロスサイトのログインフローでは Cookie が保存されず、原因不明のログイン失敗に見えることがあります。主な使用シーン
1. ログイン Cookie がレスポンスにはあるのにブラウザ保存領域に出てこない理由を調べる。
2. 新しいセッション戦略を出荷する前に auth 用 Cookie の変更をレビューする。
3. クロスサイト redirect を含むフローで staging と production のレスポンスヘッダーを比較する。
4. `Path`、`SameSite`、`Secure`、`HttpOnly` の実務的な影響をチームに説明する。
よくある質問