Set-Cookie
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.
Tipo de cabecera | Respuesta del encabezado |
---|---|
Nombre prohibido del encabezado | no |
Sintaxis
Set-Cookie: <cookie-name>=<cookie-value> Set-Cookie: <cookie-name>=<cookie-value>; Expires=<date> Set-Cookie: <cookie-name>=<cookie-value>; Max-Age=<non-zero-digit> Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value> Set-Cookie: <cookie-name>=<cookie-value>; Path=<path-value> Set-Cookie: <cookie-name>=<cookie-value>; Secure Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Strict Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Lax Set-Cookie: <cookie-name>=<cookie-value>; SameSite=None // Es posible usar múltiples directivas, por ejemplo: Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly
Directivas
- Si se omite, se define el húesped como la URL del documento actual, sin incluir subdominios.
- Contrario a la especificación anterior, puntos principales en el nombre del domino (
.ejemplo.com
) son ignorados. - Si un dominio es especificado, los subdominios son también incluidos.
- If omitted, defaults to the host of the current document URL, not including subdomains.
- Contrary to earlier specifications, leading dots in domain names (
.example.com
) are ignored. - If a domain is specified, subdomains are always included.
-
Una cookie comienza con un par nombre-valor:
- Un
<cookie-name>
puede ser cualquier cosa excepto caracteres de control (CTLs) o espacios y tabulaciones. Tampoco debe contener caracteres de separación como los siguientes:( ) < > @ , ; : \ " / [ ] ? = { }
. - Un
<cookie-value>
opcionalmente puede ser establecido dentro de comillas dobles y se permite usar cualquier caracter US-ASCII excluyendo CTLs, espacios en blanco, comillas dobles, comas, punto y coma y la barra invertida. Codificación: Muchas implementaciones realizan codificación de URL sobre los valores de la cookie, aunque esto no es requerido por la especificación RFC. Esto ayuda a satisfacer los requerimientos sobre los caracteres permitidos para <cookie-value>. Prefijo __Secure-
: Las cookies cuyo nombre comience por__Secure-
(los guiones forman parte del prefijo) deben ser establecidas con la banderasecure
y deben provenir de una página segura (HTTPS).Prefijo __Host-
: Las cookies cuyo nombre comience por__Host-
deben ser establecidas con la banderasecure
, provenir de una página segura (HTTPS), no deben tener especificado un dominio (y por tanto no son enviadas a subdominios) y la ruta debe ser "/".
- Un
- Expires=<date> Opcional
-
El tiempo de vida máximo útil de una cookie como marca HTTP-date timestamp. Ver
Date
para el detalle del formato.Si no está especificado, la cookie tendrá el tiempo de vida de una session cookie. Una sesión finaliza cuando el cliente lo culmina, esto quiere decir que la sesión será removida en ese punto.
Advertencia: Sin embargo, muchos navegadores web tiene una caracteristica llamada "restaurar" que almacenará todas tus pestañas para tenerlas lista cuando el navegador sea usado nuevamente. Las cookies de sesión tambien estarán presentes como si nunca se hubiera cerrado el navegador.
Cuando una fecha de Expires es definida, la fecha límite es relativa al cliente donde la cookie se define, no en el servidor.
Max-Age=<non-zero-digit>
Opcional-
Número de segundos hasta que la cookie expire. Un cero o un número negativo hace expirar la cookie inmediatamente. Los navegadores antiguos (ie6, ie7, and ie8) no soportan max-age. Para otros navegadores, si ambos estan definidos (
Expires
yMax-Age
),Max-Age
tendrá mayor importancia. Domain=<domain-value>
Opcional-
Anfitriones donde la cookie será enviada.
- Si se omite, por defecto el huésped es la URL del documento actual, sin incluir subdominios.
- Contraria a anteriores especificaciones, los puntos principales en nombres de dominio (
.example.com
) son ignorados. - Si un dominio es especificado, los subdominios son siempre incluídos.
Path=<path-value>
Opcional-
Una ruta que debe existir en la URL solicitada, o el navegador no enviará el encabezado
Cookie
. El caracter diagonal (/
) es interpretado como un separador de directorios y subdirectorios que serán también comparados: paraPath=/docs
,/docs
,/docs/Web/
, y/docs/Web/HTTP
todos tendrán que coincidir. Secure
Opcional-
Una cookie segura es sólo enviada al servidor cuando una petición es enviada con el esquema
https:
. (Sin embargo, información confidencial nunca debería ser almacenada en Cookies HTTP, como todo el mecanismo es However, confidential information should never be stored in HTTP Cookies, ya que todo el mecanismo es inherentemente inseguro y no encripta ninguna información.)Nota: Sitios inseguros (
http:
) no puenden almacenar directivas "seguras" apartir de Chrome 52+ y Firefox 52+. HttpOnly
Opcional-
Impide que el código JavaScript acceda a la cookie. Por ejemplo, a través de la propiedad
Document.cookie
, y la APIXMLHttpRequest
, o la APIRequest
. Esto mitiga los ataques contra scripts cross-site (XSS). SameSite=<samesite-value>
Opcional-
Strict
Lax
None
Afirma que una cookie no debe ser enviada con peticiones cruzadas, proveiendo alguna protección contra ataques de falsificación de solicitudes cruzadas (CSRF).
Nota: Los navegadores haciendo migraciones para que el comportamiento por defecto de las cookies en lugar de default sea
SameSite=Lax
. Si una cookie necesita ser enviada en peticiones cruzadas, se tiene que optar por no restringir el mismo sitio (SameSite) usando la directivaNone
. La directivaNone
requiere el atributoSecure
.
Ejemplos
Session cookie
Las cookies de sesión son removidas cuando el cliente se apaga. Las cookies son cookies de sesión si no se especifican las directivas Expires
o Max-Age
.
Set-Cookie: sessionId=38afes7a8
Permanent cookie
En lugar de expirar cuando el cliente se cierra, las cookies permanentes expiran en una fecha especifica (Expires
) o después de una longitud de tiempo determinado (Max-Age
).
Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT
Set-Cookie: id=a3fWa; Max-Age=2592000
Invalid domains
Una cookie para un dominio que no incluya el servidor que la defina debería ser rechazada por el agente de usuario.
La siguiente cookie sera rechazada si se define por el servidor ubicado en originalcompany.com
como:
Set-Cookie: qwerty=219ffwef9w0f; Domain=somecompany.co.uk
Una cookie para el subdomino del dominio actual será rechazada.
La siguiente cookie sera rechazada si el servidor anfitrión en example.com
la define como:
Set-Cookie: sessionId=e8bb43229de9; Domain=foo.example.com
Cookie prefixes
Los nombres de las cookies prefijadas con __Secure-
o __Host-
pueden ser solo usadas si son definidas con la directiva secure
desde un origen (HTTPS) seguro.
Además, cookies con el prefijo __Host-
deben tener una ruta de /
(significando cualquier ruta del huésped) y no debe tener un atributo Domain
.
Advertencia: Para clientes que no implementan prefijos para las cookies, no se puede contar con que estas garantías adicionales, y las cookies prefijadas sean aceptadas.
// Ambas aceptadas al venir de un origen seguro (HTTPS) Set-Cookie: __Secure-ID=123; Secure; Domain=example.com Set-Cookie: __Host-ID=123; Secure; Path=/ // Rechazada por faltar la directiva Secure Set-Cookie: __Secure-id=1 // Rechazada por faltar la directiva Path=/ Set-Cookie: __Host-id=1; Secure // Rechazada por definir un dominio Set-Cookie: __Host-id=1; Secure; Path=/; domain=example.com
Especificaciones
Specification |
---|
HTTP State Management Mechanism # sane-set-cookie |
Compatibilidad con navegadores
BCD tables only load in the browser
Notas de compatibilidad
- Empezando con Chrome 52 y Firefox 52, sitios inseguros (
http:
) no pueden definirse cookies con la directiva 'secure'.