Set-Cookie は HTTP のレスポンスヘッダーで、サーバーからユーザーエージェントへクッキーを送信するために使用され、ユーザーエージェントはそれを後でサーバーに送り返すことができます。
詳細については、HTTP クッキーのガイドを参照してください。
| ヘッダー種別 | レスポンスヘッダー |
|---|---|
| 禁止ヘッダー名 | いいえ |
構文
Set-Cookie: <cookie-name>=<cookie-value> Set-Cookie: <cookie-name>=<cookie-value>; Expires=<date> Set-Cookie: <cookie-name>=<cookie-value>; Max-Age=<non-zero-digit> Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value> Set-Cookie: <cookie-name>=<cookie-value>; Path=<path-value> Set-Cookie: <cookie-name>=<cookie-value>; Secure Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Strict Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Lax Set-Cookie: <cookie-name>=<cookie-value>; SameSite=None // 以下の例のように、複数のディレクティブも利用することができます。 Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly
ディレクティブ
<cookie-name>=<cookie-value>- 名前と値の組で始まるクッキーです。
<cookie-name>は任意の US-ASCII 文字の集合で、制御文字、空白、タブを除いたものです。( ) < > @ , ; : \ " / [ ] ? = { }のような区切り文字も含めることができません。<cookie-value>は任意で二重引用符で囲むことができ、制御文字、ホワイトスペース、二重引用符、カンマ、セミコロン、バックスラッシュを除くすべての US-ASCII 文字が利用できます。 エンコーディング: 多くの実装ではクッキーの値に URL エンコーディングを施しますが、 RFC の仕様書では要求されていません。これは <cookie-value> に許可された文字についての要件を満足させるのに役立ちます。__Secure-の接頭辞 :__Secure-(接頭辞にダッシュを含む) で始まるクッキー名は、secureフラグを設定することが必要で、安全なページ (HTTPS) でなければなりません。__Host-の接頭辞 :__Host-で始まるクッキー名は、secureフラグを設定し、安全なページ (HTTPS) から読み込む必要があり、ドメインを指定することができず (従ってサブドメインにも送られません)、パスが/で終わる必要があります。
Expires=<date>Optional-
クッキーの有効期限で、 HTTP の日時タイムスタンプです。詳細な書式は
Dateを参照してください。指定されなかった場合は、クッキーはセッションクッキーの寿命になります。セッションはクライアントがクライアントが終了したときに終了するので、セッションはその時点で削除されます。
警告: 多くのウェブブラウザーはセッション復元と呼ばれる機能を持っており、これによってすべてのタブを保存し、次回ブラウザーを起動したときに戻すことができます。クッキーはその際にも、実際にはブラウザーを閉じていないかのように残ります。
期限が設定されていた場合、時刻と日付はサーバーではなく、クッキーが設定されるクライアントからの相対時刻で設定されます。
Max-Age=<number>Optional- クッキーの期限までの秒数です。ゼロまたは負の数値の場合は、クッキーは直ちに期限切れになります。
ExpiresおよびMax-Ageの両方が設定されていたら、Max-Ageが優先されます。 Domain=<domain-value>Optional- クッキーを送信する先のホストです。
- 指定されなかった場合は、既定で現在の文書の URL におけるホスト名の部分になり、サブドメインを含みません。
- 初期の仕様書とは逆に、ドメイン名の前のドット (
.example.com) は無視されます。 - 複数のホストやドメインの値を指定することはできませんが、ドメインが指定された場合、すべてのサブドメインが常に含まれます。
Path=<path-value>Optional- リクエストの URL に含まれるべきパスです。含まれていないと、ブラウザーは
Cookieヘッダーを送信しません。 - スラッシュ ("/") の文字はディレクトリ区切りとして解釈され、サブディレクトリも同様に一致します (例えば
Path=/docsであれば、/docs,/docs/Web/,/docs/Web/HTTPはすべて一致します)。 SecureOptional- セキュアクッキーは、リクエストが SSL と HTTPS プロトコルを使用して行われた場合にのみサーバーに送信されます。ただし HTTP クッキーは、例えば情報が暗号化されないなど、安全ではない仕組みを継承しているので、機密な情報や敏感な情報を転送したり格納したりしないようにしてください。
メモ: 安全ではないサイト (
http:) は "secure" ディレクティブを付けてクッキーを設定することができなくなりました (Chrome 52 以降および Firefox 52 以降の新機能). HttpOnlyOptional- JavaScript がこのクッキーにアクセスすることを禁止します。例えば、
Document.cookieプロパティ、XMLHttpRequestAPI,RequestAPI などです。これにより、クロスサイトスクリプティング (XSS) の攻撃を軽減します。 SameSite=<samesite-value>Optional-
StrictLaxNone
クッキーがオリジン間リクエストで送信されないことを主張することで、クロスサイトリクエストフォージェリ攻撃 (CSRF) に対していくらか防御することができます。
ブラウザーは クッキーに
SameSite=Laxの既定値を持たせるよう移行しつつあります。オリジンをまたいでクッキーを送信する必要がある場合、Noneディレクティブを用いて SameSite の制約を外してください。NoneディレクティブはSecure属性を必要とします。
例
セッションクッキー
セッションクッキーはクライアントが終了したときに削除されます。 Expires や Max-Age ディレクティブを指定しないとクッキーはセッションクッキーになります。
Set-Cookie: sessionId=38afes7a8
永続的クッキー
永続的クッキーは、クライアントが終了したときに期限切れにならず、特定の期限 (Expires) または特定の時間が過ぎた後 (Max-Age) に期限切れになります。
Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT
Set-Cookie: id=a3fWa; Max-Age=2592000
不正なドメイン
オリジンのサーバーを含まないドメインに所属するクッキーは、ユーザーエージェントが拒否します。
次のクッキーは originalcompany.com でホストされたサーバーから設定しようとすると拒否されます。
Set-Cookie: qwerty=219ffwef9w0f; Domain=somecompany.co.uk
提供するドメインのサブドメインへのクッキーは拒否されます。
以下のクッキーは、 example.com にホスティングされたサーバーからセットされた場合は拒否されます。
Set-Cookie: sessionId=e8bb43229de9; Domain=foo.example.com
クッキーの接頭辞
__Secure- または __Host- の接頭辞が付いたクッキー名は、安全な (HTTPS の) オリジンから secure ディレクティブを設定した場合のみ使用することができます。
加えて、 __Host- の接頭辞が付いたクッキーは、 / (ホストの任意のパスという意味) を持つ必要があり、 Domain 属性を持つことができません。
クッキーの接頭辞を実装していないクライアントでは、これらの保証を受けることができず、クッキー―は常に受け入れられます。
// Both accepted when from a secure origin (HTTPS) Set-Cookie: __Secure-ID=123; Secure; Domain=example.com Set-Cookie: __Host-ID=123; Secure; Path=/ // Rejected due to missing Secure directive Set-Cookie: __Secure-id=1 // Rejected due to the missing Path=/ directive Set-Cookie: __Host-id=1; Secure // Rejected due to setting a domain Set-Cookie: __Host-id=1; Secure; Path=/; domain=example.com
仕様書
| 仕様書 | 題名 |
|---|---|
| RFC 6265, セクション 4.1: Set-Cookie | HTTP State Management Mechanism |
| draft-ietf-httpbis-rfc6265bis-02 | Cookie Prefixes, Same-Site Cookies, and Strict Secure Cookies |
ブラウザーの互換性
このページの互換性一覧表は構造化データから生成されています。データに協力していただけるのであれば、 https://github.com/mdn/browser-compat-data をチェックアウトしてプルリクエストを送信してください。
| デスクトップ | モバイル | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
Set-Cookie | Chrome 完全対応 あり | Edge 完全対応 12 | Firefox 完全対応 あり | IE 完全対応 あり | Opera 完全対応 あり | Safari 完全対応 あり | WebView Android 完全対応 あり | Chrome Android 完全対応 あり | Firefox Android 完全対応 あり | Opera Android 完全対応 あり | Safari iOS 完全対応 あり | Samsung Internet Android 完全対応 あり |
HttpOnly | Chrome 完全対応 1 | Edge 完全対応 12 | Firefox 完全対応 3 | IE 完全対応 9 | Opera 完全対応 11 | Safari 完全対応 5 | WebView Android 完全対応 37 | Chrome Android 完全対応 あり | Firefox Android 完全対応 4 | Opera Android 完全対応 あり | Safari iOS 完全対応 4 | Samsung Internet Android 完全対応 あり |
Max-Age | Chrome 完全対応 あり | Edge 完全対応 12 | Firefox 完全対応 あり | IE 完全対応 8 | Opera 完全対応 あり | Safari 完全対応 あり | WebView Android 完全対応 あり | Chrome Android 完全対応 あり | Firefox Android 完全対応 あり | Opera Android 完全対応 あり | Safari iOS 完全対応 あり | Samsung Internet Android 完全対応 あり |
SameSite | Chrome 完全対応 51 | Edge 完全対応 16 | Firefox 完全対応 60 | IE 未対応 なし | Opera 完全対応 39 | Safari
完全対応
13
| WebView Android 完全対応 51 | Chrome Android 完全対応 51 | Firefox Android 完全対応 60 | Opera Android 完全対応 41 | Safari iOS
完全対応
13
| Samsung Internet Android 完全対応 5.0 |
| Cookie prefixes | Chrome 完全対応 49 | Edge 完全対応 79 | Firefox 完全対応 50 | IE 未対応 なし | Opera 完全対応 36 | Safari 完全対応 あり | WebView Android 完全対応 49 | Chrome Android 完全対応 49 | Firefox Android 完全対応 50 | Opera Android 完全対応 36 | Safari iOS 完全対応 あり | Samsung Internet Android 完全対応 5.0 |
凡例
- 完全対応
- 完全対応
- 未対応
- 未対応
- 実装ノートを参照してください。
- 実装ノートを参照してください。
互換性のメモ
- Chrome 52 および Firefox 52 以降、セキュリティで保護されていないサイト (
http:) では、 "secure" ディレクティブ付きでクッキーを設定することはできなくなりました。