Cookie 解析器
Cookie 不过是一串纠缠的文本——直到浏览器悄悄把它拒之门外。粘贴 Cookie 或 Set-Cookie 头,或一段原始 document.cookie,每个 Cookie 都会被拆成名称、值和属性,URL 编码、JSON、Base64 与 JWT 值就地解码。内置审计会就 Secure、HttpOnly、SameSite、__Host- 与 __Secure- 前缀、过期和大小逐项评分,随后即可重建为 Cookie 头、Set-Cookie 行、document.cookie、Netscape cookies.txt、JSON 或 PHP。全程在浏览器内完成,不上传任何内容。
- 一个输入框读取 Cookie 头、Set-Cookie 头与 document.cookie,无需切换模式
- 不透明的值就地解码:URL 编码、JSON、Base64 与 JWT
- 安全审计为 Secure、HttpOnly、SameSite、__Host-/__Secure- 前缀与过期评分
- 重建为 Cookie 头、Set-Cookie、document.cookie、curl cookies.txt、JSON 或 PHP
从这里开始
在左侧输入框粘贴 Cookie 头、一条或多条 Set-Cookie 头,或 document.cookie 字符串,解析后的 Cookie 会显示在这里。
功能简介
粘贴任一方向的 Cookie 字符串——请求、响应或 document.cookie——它会还原成可读的字段、可核对的解码值,以及一份直指风险点的审计。
- 01
三种形态,自动识别
Cookie 请求头、Set-Cookie 响应头与原始 document.cookie 字符串都能凭结构识别。Path、Domain、SameSite 等保留属性会暴露出 Set-Cookie;你也可以从工具栏强制指定格式。
- 02
值就地解码
URL 编码会被还原,JSON 会被美化,Base64 会被展开,JWT 会拆为头部与载荷 —— 无需第二个工具即可看清 Cookie 真正承载的内容。
- 03
逐项呈现属性
Domain、Path、Expires、Max-Age、SameSite、Secure、HttpOnly、Partitioned 与 Priority 都会被单独提取。Max-Age 会换算成真实日期,到期则显示为「12 个月后」或「5 年前过期」这样的倒计时。
- 04
真正的安全审计
每个 Cookie 都会就 Secure、HttpOnly、SameSite、__Host- 与 __Secure- 前缀、超大载荷、过宽的 Domain、过期与重复进行评估,汇总成一个 0–100 的评分——像「没有 Secure 的 SameSite=None」这类严重问题扣分最多。
- 05
往返导出
把这组 Cookie 重建为 Cookie 头、Set-Cookie 行、document.cookie 语句、供 curl 使用的 Netscape cookies.txt、JSON 数组、Markdown 表格或 PHP setcookie() 调用。
- 06
浏览器内运行,不上传
识别、解码、审计与导出都在本页完成。没有任何网络请求会把你的 Cookie 带出浏览器。
如何使用
粘贴、查看、重建——一个输入框搞定识别、解码、审计与全部导出,无需任何配置。
- 01
在左侧输入框粘贴 Cookie 头、一条或多条 Set-Cookie 头,或 document.cookie 字符串。
- 02
方向会被自动识别。如果识别有误,可从工具栏切换到 Cookie 或 Set-Cookie。
- 03
在「结构化」视图中查看每个 Cookie 的名称、解码后的值和属性,并就地展开 JWT 或 JSON 值。
- 04
打开「安全」视图查看评分、覆盖率统计、大小预算以及完整的发现列表。
- 05
切换到「导出」视图,选择目标格式,把重建后的 Cookie 复制回请求头、脚本或 curl jar。
功能说明
读取 Cookie、解码其值、揪出其中的错误,一遍完成,而不必在三个工具间来回。
- Cookie 头拆为 name=value 对;Set-Cookie 头拆为名称、值与每个属性。
- 可一次解析多条 Set-Cookie,每行一个 Cookie,并自动去掉行首的头名称。
- 值会被分类为 JWT、JSON、Base64、URL 编码、十六进制、UUID、数字、布尔或纯文本。
- 到期既显示为绝对日期,也显示为本地化的相对倒计时,并标注会话与过期。
- 审计会标记没有 Secure 的 SameSite=None、__Host-/__Secure- 前缀违规、缺失 HttpOnly 以及超大 Cookie。
- 大小预算条会将总大小与最大 Cookie 与 4096 字节浏览器上限对比。
适合哪些场景
Cookie 解析器真正派上用场的地方——日常的调试、审计与复现真实 Cookie。
-
看清 Cookie 真正存了什么
像 sid=s%3Aa1b2c3 这样的值或一段 Base64,一眼根本看不出名堂。粘进来就能就地读到解码后的 JSON、JWT 声明或文本——无需手动反转义,也不必再跑一趟 jwt.io。
-
上线前审计 Set-Cookie
粘贴后端实际下发的 Set-Cookie,确认 Secure、HttpOnly、SameSite 与 __Host- 前缀是否对得上。审计会在上线前抓出会被浏览器悄悄丢弃的「没有 Secure 的 SameSite=None」。
-
排查存不住的 Cookie
Cookie 在重定向后消失时,原因往往就摆在这里:已经过去的 Expires、与主机不匹配的 Domain,或超过 4096 字节而被浏览器拒绝存储的值。
-
把浏览器会话搬进 curl
从 DevTools 复制 document.cookie,导出 Netscape cookies.txt,再用 curl --cookie cookies.txt 或 wget --load-cookies 原样回放会话——无需手工拼制表符分隔的字段。
-
在代码里复现 Cookie
导出 PHP setcookie() 调用或 document.cookie 赋值,把抓到的 Cookie 变成一行就能设置、连属性都齐全的测试数据。
-
为团队记录一组 Cookie
把包含名称、值与标志的 Markdown 表格直接贴进 PR 或工单,让前端、后端与测试基于同一份 Cookie 清单协作,而不是互发截图。
使用建议
Cookie 在被拒绝之前都只是文本。先让结构化视图与审计完成第一遍阅读。
- 为会话与鉴权 Cookie 设置 Secure、HttpOnly 与明确的 SameSite,不要依赖 Lax 默认值。
- 会话 Cookie 优先使用 __Host- 前缀:它强制 Secure、Path=/ 且不设 Domain,可阻断子域注入。
- 截图或分享前,在结构化视图中清除真实的会话、令牌与鉴权值。
- 让每个 Cookie 都远低于 4096 字节;把大状态放到服务端,只存一个标识符。
- 把 SameSite=None 视为主动开启的跨站暴露 —— 须搭配 Secure 并有明确理由。
- 不要把生产环境的 Cookie 留在任何在线工具里,包括本工具。用完请清空输入。
边界与注意事项
了解工具不做什么,能避免把它当成浏览器或扫描器来用。
- 不发起任何网络请求;工具只解析你粘贴的文本,无法读取或设置真实的浏览器 Cookie。
- Cookie 加密与签名 Cookie 校验不在范围内 —— 它解码结构,而非服务端密钥。
- 审计报告的是基础的卫生信号而非结论;敏感 Cookie 仍需正规的安全评审。
- 解码是尽力而为:仅仅“看起来像”Base64 或 JSON 的值可能只是巧合,并非真实格式。
- Cookie 分区行为、每域数量上限等浏览器特性会因引擎与版本而异。
常见问题
关于格式识别、值解码、安全评分、导出给 curl,以及你的 Cookie 数据去向的直接回答。
它如何区分 Cookie 头和 Set-Cookie 头?
Set-Cookie 带有 Path、Domain、Expires、SameSite 等保留属性,且每行一个 Cookie;Cookie 头则是一行 name=value 对。自动识别据此判断,你也可以从工具栏手动覆盖。
能解码经过编码的 Cookie 值吗?
可以。它会 URL 解码值、美化 JSON、展开 Base64,并把 JWT 拆为头部与载荷,全部就地显示在每个 Cookie 下方。
安全评分代表什么?
评分从 100 开始,按发现逐项扣分 —— 像没有 Secure 的 SameSite=None 或破损的 __Host- 前缀等严重问题扣得最多,警告与提示扣得较少。它是快速信号,而非合规评级。
可以导出给 curl 用的 Cookie 吗?
可以。Netscape cookies.txt 导出会生成一个 jar,可用 curl --cookie cookies.txt 或 wget --load-cookies 加载,此外还有 document.cookie、JSON、Markdown 与 PHP 导出。
我的 Cookie 数据会被上传吗?
不会。识别、解码、审计与导出都在浏览器内完成。没有任何网络请求会把你的 Cookie 带出本页面。
为什么请求 Cookie 上看不到 Secure 之类的属性?
Cookie 请求头只携带 name=value 对 —— Secure、HttpOnly、SameSite 等属性属于 Set-Cookie。粘贴 Set-Cookie 头即可审计这些属性。
更多相关工具
继续网络与安全相关的工作 —— 解析完整的 HTTP 报文、解码 Cookie 中的 JWT,或清理 URL。