HTTP Set-Cookie Header

Der HTTP-Header Set-Cookie ist ein Response-Header, der Cookies im Browser des Clients setzt. Er definiert Name, Wert und zahlreiche Security-Attribute für Session-Management, Authentifizierung und User-Tracking mit präziser Kontrolle über Scope und Lebensdauer.

Typ

Response-Header

Syntax

Der Header definiert Cookie-Name, Wert und optionale Attribute.

http 
Set-Cookie: sessionId=abc123; Secure; HttpOnly; SameSite=Strict
Set-Cookie: theme=dark; Max-Age=31536000; Path=/; Domain=.example.com

Direktiven

Die Direktiven definieren Cookie-Eigenschaften und Security-Attribute.

<name>=<value>
Cookie-Name und -Wert, beide sollten URL-encoded sein bei Sonderzeichen.
Domain
Gültige Domain, Subdomains inkludiert bei führendem Punkt (z.B. .example.com).
Path
URL-Pfad, für den das Cookie gilt, Standard ist Request-Path.
Expires
Ablaufdatum im GMT-Format, Cookie wird zu diesem Zeitpunkt gelöscht.
Max-Age
Lebensdauer in Sekunden, überschreibt Expires-Attribut.
Secure
Cookie wird nur über HTTPS übertragen, verhindert Abhören über unverschlüsselte Verbindungen.
HttpOnly
Cookie ist nur via HTTP zugänglich, JavaScript kann nicht darauf zugreifen, verhindert XSS-Angriffe.
SameSite
CSRF-Schutz mit Werten Strict, Lax oder None, steuert Cross-Site Request Verhalten.

Beispiele

Nachfolgend finden Sie praktische Anwendungsbeispiele für den Set-Cookie-Header.

Beispiel 1 Sichere Session-Cookie

http 
HTTP/1.1 200 OK
Set-Cookie: sessionId=a3f8b9c2d1e0; Secure; HttpOnly; SameSite=Strict; Path=/; Max-Age=3600
Content-Type: application/json

{"user": "alice@example.com"}

API setzt Session-Cookie mit maximaler Security: HTTPS-only, kein JavaScript-Zugriff, CSRF-Schutz, 1-Stunde Gültigkeit.

Beispiel 2 Persistente Präferenz-Cookie

http 
HTTP/1.1 200 OK
Set-Cookie: language=de-DE; Max-Age=31536000; Path=/; Domain=.example.com; SameSite=Lax
Content-Type: text/html

<!DOCTYPE html>...

Website setzt Sprach-Präferenz für 1 Jahr gültig über alle Subdomains, erlaubt Top-Level Navigation Requests.

Beispiel 3 Tracking-Cookie mit SameSite None

http 
HTTP/1.1 200 OK
Set-Cookie: analytics=xyz789; Secure; SameSite=None; Max-Age=7776000; Path=/
Content-Type: image/gif

[1x1 tracking pixel]

Analytics-Service setzt Cross-Site Cookie, erfordert Secure und SameSite=None für Third-Party Kontext.

Cookie Security Flow

Set-Cookie Security Ablauf

Vorteile für die Systemarchitektur

  • Zustandslose Server: Session-State im Browser reduziert Server-Memory und ermöglicht horizontale Skalierung
  • Security Best Practices: HttpOnly verhindert XSS, Secure erzwingt HTTPS, SameSite schützt vor CSRF
  • Flexible Scope-Kontrolle: Domain und Path erlauben präzise Cookie-Gültigkeit über Subdomains und URL-Bereiche

Spezifikation

RFC 6265, HTTP State Management Mechanism https://www.rfc-editor.org/rfc/rfc6265.html

Weitere Spezifikationen

Cookie Header, Cache-Control Header, Access-Control-Allow-Credentials Header