网络

Cookie 解析器

Cookie 不过是一串纠缠的文本——直到浏览器悄悄把它拒之门外。粘贴 Cookie 或 Set-Cookie 头,或一段原始 document.cookie,每个 Cookie 都会被拆成名称、值和属性,URL 编码、JSON、Base64 与 JWT 值就地解码。内置审计会就 Secure、HttpOnly、SameSite、__Host- 与 __Secure- 前缀、过期和大小逐项评分,随后即可重建为 Cookie 头、Set-Cookie 行、document.cookie、Netscape cookies.txt、JSON 或 PHP。全程在浏览器内完成,不上传任何内容。

  • 一个输入框读取 Cookie 头、Set-Cookie 头与 document.cookie,无需切换模式
  • 不透明的值就地解码:URL 编码、JSON、Base64 与 JWT
  • 安全审计为 Secure、HttpOnly、SameSite、__Host-/__Secure- 前缀与过期评分
  • 重建为 Cookie 头、Set-Cookie、document.cookie、curl cookies.txt、JSON 或 PHP
工具/Cookie 解析器

从这里开始

在左侧输入框粘贴 Cookie 头、一条或多条 Set-Cookie 头,或 document.cookie 字符串,解析后的 Cookie 会显示在这里。

试试示例
示例

功能简介

粘贴任一方向的 Cookie 字符串——请求、响应或 document.cookie——它会还原成可读的字段、可核对的解码值,以及一份直指风险点的审计。

  1. 01

    三种形态,自动识别

    Cookie 请求头、Set-Cookie 响应头与原始 document.cookie 字符串都能凭结构识别。Path、Domain、SameSite 等保留属性会暴露出 Set-Cookie;你也可以从工具栏强制指定格式。

  2. 02

    值就地解码

    URL 编码会被还原,JSON 会被美化,Base64 会被展开,JWT 会拆为头部与载荷 —— 无需第二个工具即可看清 Cookie 真正承载的内容。

  3. 03

    逐项呈现属性

    Domain、Path、Expires、Max-Age、SameSite、Secure、HttpOnly、Partitioned 与 Priority 都会被单独提取。Max-Age 会换算成真实日期,到期则显示为「12 个月后」或「5 年前过期」这样的倒计时。

  4. 04

    真正的安全审计

    每个 Cookie 都会就 Secure、HttpOnly、SameSite、__Host- 与 __Secure- 前缀、超大载荷、过宽的 Domain、过期与重复进行评估,汇总成一个 0–100 的评分——像「没有 Secure 的 SameSite=None」这类严重问题扣分最多。

  5. 05

    往返导出

    把这组 Cookie 重建为 Cookie 头、Set-Cookie 行、document.cookie 语句、供 curl 使用的 Netscape cookies.txt、JSON 数组、Markdown 表格或 PHP setcookie() 调用。

  6. 06

    浏览器内运行,不上传

    识别、解码、审计与导出都在本页完成。没有任何网络请求会把你的 Cookie 带出浏览器。

如何使用

粘贴、查看、重建——一个输入框搞定识别、解码、审计与全部导出,无需任何配置。

  1. 01

    在左侧输入框粘贴 Cookie 头、一条或多条 Set-Cookie 头,或 document.cookie 字符串。

  2. 02

    方向会被自动识别。如果识别有误,可从工具栏切换到 Cookie 或 Set-Cookie。

  3. 03

    在「结构化」视图中查看每个 Cookie 的名称、解码后的值和属性,并就地展开 JWT 或 JSON 值。

  4. 04

    打开「安全」视图查看评分、覆盖率统计、大小预算以及完整的发现列表。

  5. 05

    切换到「导出」视图,选择目标格式,把重建后的 Cookie 复制回请求头、脚本或 curl jar。

功能说明

读取 Cookie、解码其值、揪出其中的错误,一遍完成,而不必在三个工具间来回。

  • Cookie 头拆为 name=value 对;Set-Cookie 头拆为名称、值与每个属性。
  • 可一次解析多条 Set-Cookie,每行一个 Cookie,并自动去掉行首的头名称。
  • 值会被分类为 JWT、JSON、Base64、URL 编码、十六进制、UUID、数字、布尔或纯文本。
  • 到期既显示为绝对日期,也显示为本地化的相对倒计时,并标注会话与过期。
  • 审计会标记没有 Secure 的 SameSite=None、__Host-/__Secure- 前缀违规、缺失 HttpOnly 以及超大 Cookie。
  • 大小预算条会将总大小与最大 Cookie 与 4096 字节浏览器上限对比。

适合哪些场景

Cookie 解析器真正派上用场的地方——日常的调试、审计与复现真实 Cookie。

  1. 看清 Cookie 真正存了什么

    像 sid=s%3Aa1b2c3 这样的值或一段 Base64,一眼根本看不出名堂。粘进来就能就地读到解码后的 JSON、JWT 声明或文本——无需手动反转义,也不必再跑一趟 jwt.io。

  2. 上线前审计 Set-Cookie

    粘贴后端实际下发的 Set-Cookie,确认 Secure、HttpOnly、SameSite 与 __Host- 前缀是否对得上。审计会在上线前抓出会被浏览器悄悄丢弃的「没有 Secure 的 SameSite=None」。

  3. 排查存不住的 Cookie

    Cookie 在重定向后消失时,原因往往就摆在这里:已经过去的 Expires、与主机不匹配的 Domain,或超过 4096 字节而被浏览器拒绝存储的值。

  4. 把浏览器会话搬进 curl

    从 DevTools 复制 document.cookie,导出 Netscape cookies.txt,再用 curl --cookie cookies.txt 或 wget --load-cookies 原样回放会话——无需手工拼制表符分隔的字段。

  5. 在代码里复现 Cookie

    导出 PHP setcookie() 调用或 document.cookie 赋值,把抓到的 Cookie 变成一行就能设置、连属性都齐全的测试数据。

  6. 为团队记录一组 Cookie

    把包含名称、值与标志的 Markdown 表格直接贴进 PR 或工单,让前端、后端与测试基于同一份 Cookie 清单协作,而不是互发截图。

延伸阅读

当 Cookie 只是更大一段抓包的一部分时,打开 HTTP 报文解析 来拆解完整的请求行、请求头与正文。当 Cookie 承载 JSON Web Token 时, JWT 检查器 可解码载荷并验证签名。而对于 Cookie 内或纠缠的查询串里的 URL 编码值, URL 工具 能把每个组成部分拆开并清除跟踪参数。

使用建议

Cookie 在被拒绝之前都只是文本。先让结构化视图与审计完成第一遍阅读。

  • 为会话与鉴权 Cookie 设置 Secure、HttpOnly 与明确的 SameSite,不要依赖 Lax 默认值。
  • 会话 Cookie 优先使用 __Host- 前缀:它强制 Secure、Path=/ 且不设 Domain,可阻断子域注入。
  • 截图或分享前,在结构化视图中清除真实的会话、令牌与鉴权值。
  • 让每个 Cookie 都远低于 4096 字节;把大状态放到服务端,只存一个标识符。
  • 把 SameSite=None 视为主动开启的跨站暴露 —— 须搭配 Secure 并有明确理由。
  • 不要把生产环境的 Cookie 留在任何在线工具里,包括本工具。用完请清空输入。

边界与注意事项

了解工具不做什么,能避免把它当成浏览器或扫描器来用。

  • 不发起任何网络请求;工具只解析你粘贴的文本,无法读取或设置真实的浏览器 Cookie。
  • Cookie 加密与签名 Cookie 校验不在范围内 —— 它解码结构,而非服务端密钥。
  • 审计报告的是基础的卫生信号而非结论;敏感 Cookie 仍需正规的安全评审。
  • 解码是尽力而为:仅仅“看起来像”Base64 或 JSON 的值可能只是巧合,并非真实格式。
  • Cookie 分区行为、每域数量上限等浏览器特性会因引擎与版本而异。

常见问题

关于格式识别、值解码、安全评分、导出给 curl,以及你的 Cookie 数据去向的直接回答。

它如何区分 Cookie 头和 Set-Cookie 头?

Set-Cookie 带有 Path、Domain、Expires、SameSite 等保留属性,且每行一个 Cookie;Cookie 头则是一行 name=value 对。自动识别据此判断,你也可以从工具栏手动覆盖。

能解码经过编码的 Cookie 值吗?

可以。它会 URL 解码值、美化 JSON、展开 Base64,并把 JWT 拆为头部与载荷,全部就地显示在每个 Cookie 下方。

安全评分代表什么?

评分从 100 开始,按发现逐项扣分 —— 像没有 Secure 的 SameSite=None 或破损的 __Host- 前缀等严重问题扣得最多,警告与提示扣得较少。它是快速信号,而非合规评级。

可以导出给 curl 用的 Cookie 吗?

可以。Netscape cookies.txt 导出会生成一个 jar,可用 curl --cookie cookies.txt 或 wget --load-cookies 加载,此外还有 document.cookie、JSON、Markdown 与 PHP 导出。

我的 Cookie 数据会被上传吗?

不会。识别、解码、审计与导出都在浏览器内完成。没有任何网络请求会把你的 Cookie 带出本页面。

为什么请求 Cookie 上看不到 Secure 之类的属性?

Cookie 请求头只携带 name=value 对 —— Secure、HttpOnly、SameSite 等属性属于 Set-Cookie。粘贴 Set-Cookie 头即可审计这些属性。

更多相关工具

继续网络与安全相关的工作 —— 解析完整的 HTTP 报文、解码 Cookie 中的 JWT,或清理 URL。