Set-Cookie: |
Fixe le Cookie |
|---|---|
| HTTP | Entêtes |
Syntaxe
| Set-Cookie: cookie-name=cookie-value |
| Set-Cookie: cookie-name=cookie-value; Expires=date |
| Set-Cookie: cookie-name=cookie-value; Max-Age=non-zero-digit |
| Set-Cookie: cookie-name=cookie-value; Domain=domain-value |
| Set-Cookie: cookie-name=cookie-value; Path=path-value |
| Set-Cookie: cookie-name=cookie-value; Secure |
| Set-Cookie: cookie-name=cookie-value; HttpOnly |
| Set-Cookie: cookie-name=cookie-value; SameSite=Strict |
| Set-Cookie: cookie-name=cookie-value; SameSite=Lax |
| Set-Cookie: cookie-name=cookie-value; Domain=domain-value; Secure; HttpOnly |
Paramètres
| Nom | Description |
|---|---|
| cookie-name=cookie-value | Ce paramètre permet d'indiquer une paire de nom de Cookie et de la valeur de se Cookie. |
| Expires=date | Ce paramètre permet d'indiquer la durée de vie maximale du Cookie sous forme d'horodatage de date HTTP. Voir le champ d'entête Date: pour le format détaillé. S'il n'est pas spécifié, le Cookie aura la durée de vie d'un Cookie de session. |
| Max-Age=number | Ce paramètre permet d'indiquer le nombre de secondes jusqu'à l'expiration du Cookie. Un nombre nul ou négatif expirera immédiatement le Cookie. Les navigateurs Web plus anciens (IE6, IE7 et IE8) ne prennent pas en charge le paramètre max-age. Pour les autres navigateurs Web, si les deux (Expire et Max-Age) sont définis, Max-Age aura la priorité. |
| Domain=domain-value | Ce paramètre permet d'indiquer les hôtes auxquels le Cookie sera envoyé. S'il n'est pas spécifié, la valeur par défaut est la partie hôte de l'emplacement actuel du document (mais n'inclut pas les sous-domaines). |
| Path=path-value | Ce paramètre permet d'indiquer un chemin URL devant exister dans la ressource demandée avant d'envoyer le champ d'entête Cookie:. |
| Secure | Ce paramètre permet d'indiquer un Cookie sécurisé ne sera envoyé au serveur que lorsqu'une requête est effectuée en utilisant SSL et le protocole HTTPS. |
| HttpOnly | Ce paramètre permet d'indiquer que les Cookies du HTTP ne sont pas accessibles via JavaScript via la propriété Document.Cookie, les méthodes XMLHttpRequest et Request de l'API afin d'atténuer les attaques contre les scripts intersites (XSS). |
| SameSite=Strict SameSite=Lax |
Ce paramètre permet d'indiquer aux serveurs d'affirmer qu'un Cookie ne doit pas être envoyé avec des demandes intersites, cette situation offrant la possibilité d'une certaine protection contre les attaques de contrefaçon de demandes intersites (CSRF). |
Description
Ce champ d'entête permet d'envoyer des Cookies du serveur à l'agent utilisateur.
Remarques
- De manière informelle, l'entête de réponse Set-Cookie contient le nom d'entête Set-Cookie: suivi d'un ":" et d'un Cookie. Chaque Cookie commence par une paire de nom et de valeur, suivie par zéro ou plusieurs paires d'attribut et de valeur.
- Les serveurs ne devraient pas inclure plus d'un champ d'entête Set-Cookie: dans la même réponse avec le même nom de Cookie.
- Si un serveur envoie plusieurs réponses contenant des entêtes Set-Cookie: simultanément à l'agent utilisateur (par exemple, lors de la communication avec l'agent utilisateur sur plusieurs sockets), ces réponses créent une condition de concurrence critique pouvant conduire à un comportement imprévisible.
- Certains agents utilisateurs existants diffèrent dans leur interprétation des années à deux chiffres. Pour éviter les problèmes de compatibilité, les serveurs devraient utiliser le format de date de la norme RFC 1123, nécessitant une année à quatre chiffres.
- Certains agents utilisateurs entreposent et traitent les dates dans les Cookies sous forme de valeurs time_t en 32 bits du système d'exploitation UNIX. Des bogues de mise en oeuvre dans les bibliothèques prenant en charge le traitement time_t sur certains systèmes peuvent entraîner un traitement incorrect de ces agents utilisateurs par rapport à l'année 2038.
Dernière mise à jour : Vendredi, le 10 janvier 2020