Set-Cookie

<cookie-name>=<cookie-value>

クッキーの名前とその値を定義します。 クッキーの定義は、名前と値の組で始まります。

<cookie-name> は任意の US-ASCII 文字の集合を含むことができますが、制御文字（ASCII 文字のうち 0 から 31 までと 127）や区切り文字（空白、タブ、 ( ) < > @ , ; : \ " / [ ] ? = { } など）も含むことができません。

<cookie-value> は任意で二重引用符で囲むことができ、制御文字（ASCII 文字のうち 0 から 31 までと 127）、ホワイトスペース、二重引用符、カンマ、セミコロン、バックスラッシュを除くすべての US-ASCII 文字が利用できます。

エンコーディング: 多くの実装ではクッキーの値にパーセントエンコーディングを施します。 しかし、 RFC の仕様書で要求されているわけではありません。 パーセントエンコーディングを使用すると、 <cookie-value> に許可される文字の要件を満たすのに役立ちます。

メモ: 一部の <cookie-name> は特殊な意味を持ちます。

__Secure- の接頭辞: __Secure- (接頭辞にダッシュを含む) で始まるクッキー名は、 secure フラグを設定することが必要で、安全なページ (HTTPS) でなければなりません。

__Host- の接頭辞: 名前が __Host- で始まるクッキーは、それらを設定したホストサブドメインまたはドメインにのみ送信され、他のホストには送信されません。 secure フラグを設定し、安全なページ (HTTPS) から読み込む必要があり、ドメインを指定することができず、パスが / である必要があります。

Domain=<domain-value> 省略可

クッキーが送信されるホストを定義します。

現在のドメインのみ、またはより上位のドメインを値として設定できます。ただし、パブリック接尾辞の場合はこの限りではありません。ドメインを設定すると、そのドメインだけでなく、そのドメインのすべてのサブドメインでもクッキーが利用できるようになります。

省略された場合、この属性はサブドメインを記載せずに、既定で現在の文書 URL のホストに設定されます。

以前の仕様とは異なり、ドメイン名の先頭のドット (.example.com) は無視されます。

複数のホスト/ドメイン値は許可されていませんが、ドメインを指定した場合は、サブドメインが常に含まれます。

Expires=<date> 省略可

クッキーの有効期限を示す、 HTTP の日時タイムスタンプです。 詳細な書式は Date を参照してください。

指定されなかった場合は、クッキーはセッションクッキーの寿命になります。 セッションはクライアントが終了したときに終了するので、セッションクッキーはその時点で削除されます。

警告: 多くのウェブブラウザーはセッション復元と呼ばれる機能を持っており、これによってすべてのタブを保存し、次回ブラウザーを起動したときに復元することができます。ブラウザーを実際には閉じていないかのように、セッションクッキーも復元されます。

有効期限が設定されていた場合、期限はサーバーではなく、クッキーが設定されているクライアントからの相対時刻で設定されます。

HttpOnly 省略可

JavaScript がクッキーにアクセスできないようにします。例えば、 Document.cookie プロパティを利用できなくします。 なお、 HttpOnly で作成されたクッキーは、JavaScript、例えば XMLHttpRequest.send() や fetch() を呼び出すことで開始されたリクエストでも送信されます。 これにより、クロスサイトスクリプティング (XSS) に対する攻撃が軽減されます。

Max-Age=<number> 省略可

クッキーの期限までの秒数を示します。ゼロまたは負の数値の場合は、クッキーは直ちに期限切れになります。 Expires および Max-Age の両方が設定されていたら、 Max-Age が優先されます。

Partitioned 省略可

分割ストレージをを使用してクッキーが格納されるべきであることを示します。 この設定を行う場合は、 Secure ディレクティブも設定する必要があることに注意してください。 詳細は、分割された独立した状態を持つクッキー (CHIPS)を参照してください。

Path=<path-value> 省略可

リクエストの URL に含む必要があるパスを示します。含まれていないと、ブラウザーは Cookie ヘッダーを送信しません。

スラッシュ (/) の文字はディレクトリー区切りとして解釈され、サブディレクトリーも同様に一致します。例えば、 Path=/docs である場合、

• /docs, /docs/, /docs/Web/, /docs/Web/HTTP のリクエストパスはすべて一致します)。
• /, /docsets, /fr/docs のリクエストパスは一致しません。

SameSite=<samesite-value> 省略可

クロスサイトリクエストでクッキーを送信するかどうかを制御し、クロスサイトリクエストフォージェリ攻撃 (CSRF) に対するある程度の防御を提供します。

使用可能な属性値は以下の通りです。

Strict

ブラウザーが同一サイトのリクエストに対してのみクッキーを送信することを意味します。つまり、クッキーを設定したのと同じサイトから発信されるリクエストのことです。 リクエストが異なるドメインやスキームから発信された場合（同じドメインであっても）、 SameSite=Strict 属性のクッキーは送信されません。

Lax

画像やフレームを読み込むリクエストのようなクロスサイトリクエストではクッキーを送信しませんが、ユーザーが外部サイトから元のサイトに移動するとき（例えば、リンクをたどるとき）には送信されることを意味します。 これは SameSite 属性が指定されていない場合の既定の動作です。

None

ブラウザーがクロスサイトと同一サイトの両方のリクエストでクッキーを送信することを意味します。 この値を設定する際には、 Secure 属性も設定する必要があります。 SameSite=None; Secure のようにします。 Secure 属性がないと、次のエラーが記録されます。

Cookie "myCookie" rejected because it has the "SameSite=None" attribute but is missing the "secure" attribute.

This Set-Cookie was blocked because it had the "SameSite=None" attribute but did not have the "Secure" attribute, which is required in order to use "SameSite=None".

メモ: Secure のクッキーは、 HTTPS プロトコルで暗号化されたリクエストでのみサーバーに送られます。なお、安全でないサイト (http:) では、 Secure ディレクティブでクッキーを設定することができないため、 SameSite=None を使用することができません。

警告: SameSite=None; Secure で、 Partitioned 属性のないクッキーは、将来のブラウザーバージョンではサイト間をまたがる場合にブロックされる可能性があります。この動作により、ユーザーデータはクロスサイトトラッキングから保護されます。分割された独立した状態を持つクッキー (CHIPS)とサードパーティークッキーを参照してください。

Secure 省略可

クッキーが、リクエストが SSL と HTTPS プロトコルを使用して行われた場合にのみサーバーに送信されることを示します。ただし HTTP クッキーは、例えば情報が暗号化されないなど、安全ではない仕組みを継承しているので、機密な情報や敏感な情報を転送したり格納したりしないようにしてください。

メモ: Secure を設定すると、Cookie 内の機密情報 (セッションキー、ログイン情報など) へのアクセスがすべて防げると思わないでください。この属性を持つクッキーは、クライアントのハードディスクにアクセスしたり、 HttpOnly クッキー属性が設定されていない場合に JavaScript からアクセスしたりすることで、依然として読み取り/変更が可能です。

安全でないサイト (http:) では、 Secure 属性のクッキーを設定できません (Chrome 52、Firefox 52 以降)。Firefox では、Secure 属性が localhost で設定されている場合、https: の要件は無視されます (Firefox 75以降)。

セッションクッキーは、クライアントが終了したときに削除されます。 Expires や Max-Age ディレクティブを指定しないと、クッキーはセッションクッキーになります。

Set-Cookie: sessionId=38afes7a8

永続的なクッキーは、特定の日付 (Expires) または特定の期間 (Max-Age) 後に削除され、クライアントが閉じられたときには削除されません。

Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT

Set-Cookie: id=a3fWa; Max-Age=2592000

オリジンのサーバーを含まないドメインに所属するクッキーは、ユーザーエージェントが拒否します。

次のクッキーを original-company.com でホスティングされたサーバーから設定しようとすると拒否されます。

Set-Cookie: qwerty=219ffwef9w0f; Domain=some-company.co.uk

提供するドメインのサブドメインへのクッキーは拒否されます。

以下のクッキーを example.com でホスティングされたサーバーから設定しようとすると拒否されます。

Set-Cookie: sessionId=e8bb43229de9; Domain=foo.example.com

__Secure- または __Host- の接頭辞が付いたクッキー名は、安全な (HTTPS の) オリジンから secure ディレクティブを設定した場合のみ使用することができます。

加えて、 __Host- の接頭辞が付いたクッキーは、 / (ホストの任意のパスという意味) を持つ必要があり、 Domain ディレクティブを持つことができません。

// どちらも安全な (HTTPS の) オリジンから受け入れられます
Set-Cookie: __Secure-ID=123; Secure; Domain=example.com
Set-Cookie: __Host-ID=123; Secure; Path=/

// Secure ディレクティブが無いため、拒否されます
Set-Cookie: __Secure-id=1

// Path=/ ディレクティブが無いため、拒否されます
Set-Cookie: __Host-id=1; Secure

// Domain を設定したため、拒否されます
Set-Cookie: __Host-id=1; Secure; Path=/; Domain=example.com

• Chrome 52 および Firefox 52 以降、セキュリティで保護されていないサイト (http:) では、 Secure ディレクティブ付きでクッキーを設定することはできなくなりました。

• HTTP クッキー
• Cookie
• Document.cookie
• Samesite cookies explained (web.dev blog)