Analizador de cookies
Una cookie no es más que una cadena enredada, hasta que un navegador la rechaza sin avisar. Pega una cabecera Cookie o Set-Cookie, o un document.cookie en crudo, y cada cookie se desglosa en nombre, valor y atributos, con los valores en URL-encoding, JSON, Base64 y JWT decodificados sobre la marcha. Una auditoría integrada evalúa Secure, HttpOnly, SameSite, los prefijos __Host- y __Secure-, la caducidad y el tamaño, y luego reconstruye el conjunto como cabecera Cookie, líneas Set-Cookie, document.cookie, un archivo Netscape cookies.txt, JSON o PHP. Todo se ejecuta en tu navegador: no se sube nada.
- Un solo campo lee cabeceras Cookie, cabeceras Set-Cookie y document.cookie, sin cambiar de modo
- Valores opacos decodificados sobre la marcha: URL-encoding, JSON, Base64 y JWT
- La auditoría de seguridad puntúa Secure, HttpOnly, SameSite, los prefijos __Host-/__Secure- y la caducidad
- Reconstruye como cabecera Cookie, Set-Cookie, document.cookie, curl cookies.txt, JSON o PHP
Empieza aquí
Pega una cabecera Cookie, una o varias cabeceras Set-Cookie, o una cadena document.cookie en el campo de la izquierda, y las cookies analizadas aparecerán aquí.
Resumen
Pega una cadena de cookie en cualquier dirección —solicitud, respuesta o document.cookie— y vuelve convertida en campos con nombre que puedes leer, valores decodificados que puedes verificar y una auditoría que señala las partes de riesgo.
- 01
Tres formas, detectadas automáticamente
Las cabeceras de solicitud Cookie, las cabeceras de respuesta Set-Cookie y las cadenas document.cookie en crudo se reconocen por su estructura. Atributos reservados como Path, Domain o SameSite delatan un Set-Cookie; también puedes forzar el formato desde la barra de herramientas.
- 02
Valores decodificados en línea
El URL-encoding se revierte, el JSON se formatea, el Base64 se despliega y un JWT se divide en cabecera y payload, de modo que puedes leer lo que una cookie realmente transporta sin necesidad de una segunda herramienta.
- 03
Cada atributo, a la vista
Domain, Path, Expires, Max-Age, SameSite, Secure, HttpOnly, Partitioned y Priority se extraen por separado. Un Max-Age se convierte en una fecha real y la caducidad se lee como una cuenta atrás del tipo «en 12 meses» o «caducada hace 5 años».
- 04
Una auditoría de seguridad de verdad
Cada cookie se evalúa por Secure, HttpOnly, SameSite, los prefijos __Host- y __Secure-, payloads sobredimensionados, un Domain demasiado amplio, la caducidad y los duplicados, todo resumido en una única puntuación de 0 a 100, donde los problemas críticos como SameSite=None sin Secure son los que más restan.
- 05
Exportación de ida y vuelta
Reconstruye el conjunto como cabecera Cookie, líneas Set-Cookie, sentencias document.cookie, un archivo Netscape cookies.txt para curl, un array JSON, una tabla Markdown o llamadas PHP setcookie().
- 06
En el navegador, sin subir nada
La detección, la decodificación, la auditoría y la exportación ocurren todas en esta página. Ninguna petición de red saca tus cookies del navegador.
Cómo usarla
Pega, lee y reconstruye: un único campo de entrada se encarga de la detección, la decodificación, la auditoría y todas las exportaciones, sin nada que configurar.
- 01
Pega una cabecera Cookie, una o varias cabeceras Set-Cookie, o una cadena document.cookie en el campo de la izquierda.
- 02
La dirección se detecta automáticamente. Si acierta mal, cambia a Cookie o Set-Cookie desde la barra de herramientas.
- 03
En la vista Estructurada, revisa el nombre, el valor decodificado y los atributos de cada cookie, y despliega los valores JWT o JSON en línea.
- 04
Abre la vista Seguridad para ver la puntuación, las estadísticas de cobertura, el presupuesto de tamaño y la lista completa de hallazgos.
- 05
Cambia a la vista Exportar, elige un formato de destino y copia las cookies reconstruidas de vuelta a tu cabecera, script o cookie jar de curl.
Detalles
Leer una cookie, decodificar su valor y detectar sus errores ocurre en una sola pasada, en lugar de repartirse entre tres herramientas.
- Las cabeceras Cookie se dividen en pares name=value; las cabeceras Set-Cookie, en nombre, valor y cada atributo.
- Se analizan varias líneas Set-Cookie a la vez, una cookie por línea, eliminando el nombre de cabecera del principio.
- Los valores se clasifican como JWT, JSON, Base64, URL-encoding, hexadecimal, UUID, numérico, booleano o texto plano.
- La caducidad se muestra como fecha absoluta y como cuenta atrás relativa localizada, con indicadores de sesión y caducada.
- La auditoría señala SameSite=None sin Secure, infracciones de los prefijos __Host-/__Secure-, HttpOnly ausente y cookies sobredimensionadas.
- Las barras de presupuesto de tamaño comparan el total y la cookie más grande con el límite de 4096 bytes del navegador.
Casos de uso
Donde un analizador de cookies demuestra su valía: depurar, auditar y reproducir cookies reales en el día a día.
-
Ver qué guarda realmente una cookie
Un valor como sid=s%3Aa1b2c3 o un bloque en Base64 no dice nada a primera vista. Pégalo y lee el JSON, las claims del JWT o el texto decodificado en línea, sin desescapar porcentajes a mano ni pasar por jwt.io.
-
Auditar un Set-Cookie antes de publicar
Pega el Set-Cookie que emite tu backend y confirma que Secure, HttpOnly, SameSite y el prefijo __Host- encajan. La auditoría detecta el SameSite=None sin Secure —que el navegador descarta en silencio— antes de que llegue a producción.
-
Depurar una cookie que no se guarda
Cuando una cookie desaparece tras una redirección, la causa suele verse aquí: una fecha Expires ya pasada, un Domain que no coincide con el host o un valor de más de 4096 bytes que el navegador se niega a almacenar.
-
Llevar una sesión del navegador a curl
Copia document.cookie desde las DevTools, exporta un archivo Netscape cookies.txt y reproduce la misma sesión con curl --cookie cookies.txt o wget --load-cookies, sin editar a mano campos separados por tabuladores.
-
Reproducir una cookie en el código
Exporta llamadas PHP setcookie() o asignaciones document.cookie para que una cookie que capturaste se convierta en un fixture de prueba que puedes fijar en una línea, con atributos incluidos.
-
Documentar un conjunto de cookies para el equipo
Pega una tabla Markdown de nombres, valores e indicadores directamente en un PR o ticket, para que frontend, backend y QA trabajen desde un mismo inventario de cookies en lugar de capturas de pantalla.
Ver también
Cuando la cookie es solo una parte de una captura más grande, abre Analizador de mensajes HTTP para desglosar la línea de solicitud, las cabeceras y el cuerpo completos. Cuando una cookie transporta un JSON Web Token, Inspector de JWT decodifica el payload y verifica la firma. Y para los valores en URL-encoding dentro de una cookie o de una query string enredada, Herramientas de URL separa cada componente y elimina los parámetros de seguimiento.
Buenas prácticas
Las cookies son solo texto hasta que algo las rechaza. Deja que la vista estructurada y la auditoría hagan la primera lectura.
- Configura las cookies de sesión y de autenticación con Secure, HttpOnly y un SameSite explícito; no te fíes del valor Lax por defecto.
- Usa el prefijo __Host- para las cookies de sesión: fuerza Secure, Path=/ y ningún Domain, lo que bloquea la inyección desde subdominios.
- Antes de hacer capturas o compartir, borra los valores reales de sesión, token y autenticación desde la vista estructurada.
- Mantén cada cookie muy por debajo de 4096 bytes; lleva el estado grande al servidor y guarda solo un identificador.
- Trata SameSite=None como una exposición entre sitios que activas a propósito: acompáñalo de Secure y de una razón clara.
- No dejes cookies de producción en ninguna herramienta en línea, incluida esta. Limpia la entrada al terminar.
Limitaciones
Saber lo que la herramienta no hace evita que la uses como un navegador o un escáner.
- No realiza ninguna petición de red; la herramienta solo analiza el texto que pegas, por lo que no puede leer ni fijar cookies reales del navegador.
- El cifrado de cookies y la verificación de cookies firmadas quedan fuera del alcance: decodifica la estructura, no los secretos del servidor.
- La auditoría informa de señales básicas de higiene, no de un veredicto; las cookies sensibles siguen necesitando una revisión de seguridad formal.
- La decodificación es de mejor esfuerzo: un valor que solo «parece» Base64 o JSON puede ser una coincidencia y no el formato real.
- Las particularidades de cada navegador, como el comportamiento de la partición de cookies y los límites de cantidad por dominio, varían según el motor y la versión.
Preguntas frecuentes
Respuestas directas sobre la detección de formato, la decodificación de valores, la puntuación de seguridad, la exportación para curl y adónde van los datos de tus cookies.
¿Cómo distingue una cabecera Cookie de una cabecera Set-Cookie?
Set-Cookie lleva atributos reservados como Path, Domain, Expires o SameSite, y es una cookie por línea; una cabecera Cookie es una sola línea de pares name=value. La detección automática se basa en eso, y puedes anularla desde la barra de herramientas.
¿Puede decodificar valores de cookie codificados?
Sí. Decodifica los valores en URL-encoding, formatea el JSON, despliega el Base64 y divide un JWT en su cabecera y su payload, todo mostrado en línea bajo cada cookie.
¿Qué significa la puntuación de seguridad?
Empieza en 100 y resta por cada hallazgo: más por los problemas críticos como SameSite=None sin Secure o un prefijo __Host- roto, y menos por advertencias y avisos. Es una señal rápida, no una calificación de cumplimiento.
¿Puedo exportar cookies para curl?
Sí. La exportación Netscape cookies.txt genera un archivo que puedes cargar con curl --cookie cookies.txt o wget --load-cookies, además de las exportaciones document.cookie, JSON, Markdown y PHP.
¿Se suben los datos de mis cookies?
No. La detección, la decodificación, la auditoría y la exportación ocurren todas en el navegador. Ninguna petición de red saca tus cookies de esta página.
¿Por qué no veo un atributo como Secure en una cookie de solicitud?
Una cabecera de solicitud Cookie solo transporta pares name=value; los atributos como Secure, HttpOnly y SameSite viven en Set-Cookie. Pega la cabecera Set-Cookie para auditarlos.
Herramientas relacionadas
Sigue con el trabajo de red y seguridad: analiza el mensaje HTTP completo, decodifica un JWT de una cookie o limpia una URL.