Cookie確認ツール
Cookie確認ツールの使い方
このツールは、現在のブラウザに保存されているCookie情報を一覧表示します。
Webアプリケーション開発や動作検証時のデバッグ用途としてご利用ください。
表示対象は、このドメインに対して有効なCookieのみです。
取得できる情報
- Cookie名
- 値
※ 名前と値以外の属性情報(有効期限・Secure・SameSiteなど)は保存時のルールであり、ブラウザからの通常リクエストでは取得できません。
※ HttpOnly属性が付与されたCookieはJavaScriptから取得できません。
Cookieの仕組み
Cookieは、Webサーバーがブラウザへ送信する小さなデータです。
HTTPレスポンスヘッダー(Set-Cookie)を通じて保存され、以降のリクエスト時に自動送信されます。
Cookieの主な用途
- CSRF対策
- ログイン状態の維持
- セッション管理
- トラッキング
最も身近な活用例がログイン状態の維持です。ログインするとサーバーがセッションIDをCookieに書き込み、以降のリクエストでそのIDを照合することでパスワード入力なしにユーザーを識別できます。
ほかにもショッピングカートの中身保持や、ユーザー設定の保存にも使われます。
HttpOnly属性がないCookieはJavaScriptから読み取られ、XSS攻撃でセッションIDが盗まれる恐れがあります。
Secure属性を付与してHTTPS通信限定にすること、SameSite属性でCSRF攻撃を緩和することが重要な対策です。
属性の解説
// PHPで属性を指定して発行する例
setcookie("TestCookie", "value", [
'expires' => time() + 3600,
'path' => '/',
'domain' => 'example.com',
'secure' => true, // ここでSecure属性を指定
'httponly' => true, // ここでHttpOnly属性を指定
'samesite' => 'Lax', // ここでSameSite属性を指定
]);| 属性 | 解説 |
| Secure | HTTPS通信時のみ送信される |
| HttpOnly | JavaScriptから参照できない(XSS対策) |
| SameSite | クロスサイトリクエスト時の送信制御 |
SameSIte属性
「外部サイトから自分のサイトへのリクエストに、Cookieを送信するかどうか」を制御する設定です。制限の度合いにより3段階あります。
例えばStrictの場合、Google検索結果からサイトに飛んでくると、ログイン状態であっても「未ログイン」として扱われます(Cookieが送られないため)。
Laxの場合、Google検索結果から飛んでくると、ログイン状態が維持されています。ただし、外部サイト上の「ボタン」を押してデータを送信(POST)するような場合にはCookieを送りません。モダンブラウザのデフォルト値はLaxになっています。
Noneは制限が全くありません。これを指定する場合は、必ず Secure 属性(HTTPS必須)をセットで指定する必要があります。そうしないとブラウザに拒否されます。
| 属性 | 外部サイトからのリンク | 外部サイトからのPOST/画像読込 |
| Strict(厳格) | 送信しない | 送信しない |
| Lax(緩和) | 送信する | 送信しない |
| None(なし) | 送信する | 送信する(Secure必須) |
使用上の注意
個人情報・機密情報について
- 表示されるCookieには認証情報が含まれる場合があります
- スクリーンショットを共有する際は、機密情報が含まれていないか確認してください
セキュリティ対策
- 開発・検証目的でのみ使用してください
- 公開環境で利用する場合は、表示内容に機密情報が含まれていないか十分にご確認ください
取得の仕組みについて
CookieはHTTPヘッダーの「Set-Cookie」により設定され、「Cookie」ヘッダーとして送信されます。
これらの情報は、Webブラウザがサーバーへ送信するHTTPリクエストのヘッダー解析により取得しています。
プライバシーについて
このページで表示されている情報は、ブラウザとサーバー間の通信内容をそのまま出力したものです。
表示されている情報はページを閉じれば消去され、個人情報や閲覧履歴をサーバーに保存することはありません。
