Ein Cookie ist ein kleiner Datensatz, den ein Server an den Browser sendet und der dort lokal gespeichert wird. Bei jeder weiteren Anfrage an die zugehörige Domain schickt der Browser den Cookie automatisch wieder mit. Auf diese Weise lässt sich ein zustandsbehaftetes Verhalten in das ansonsten zustandslose HTTP einbauen — Anmeldungen, Warenkörbe, Spracheinstellungen.

Cookies bestehen aus einem Namen, einem Wert und einer Reihe von Attributen, die ihre Lebensdauer und Sichtbarkeit regeln.

Wichtige Attribute

Die Attribute eines Cookies bestimmen sein Verhalten:

  • Domain — für welche Domains der Cookie gilt.
  • Path — Pfad-Präfix, ab dem der Cookie gesendet wird.
  • Expires / Max-Age — Lebensdauer; ohne Angabe ist der Cookie nur für die laufende Browser-Sitzung gültig.
  • Secure — der Cookie wird ausschließlich über HTTPS übertragen.
  • HttpOnly — der Cookie ist für JavaScript nicht lesbar; schützt gegen XSS-bedingten Diebstahl.
  • SameSite — steuert das Mitsenden bei seitenübergreifenden Anfragen (Strict, Lax, None); wirkt gegen CSRF.

Typen

Im Sprachgebrauch werden mehrere Cookie-Typen unterschieden:

  • Session-Cookies — kein Expires, gelten nur für die aktuelle Browser-Sitzung.
  • Persistente Cookies — bleiben über das schließen des Browsers hinaus erhalten.
  • First-Party-Cookies — gehören zur direkt aufgerufenen Domain.
  • Third-Party-Cookies — gehören zu einer anderen Domain, deren Inhalte (z. B. Werbung, Tracking-Pixel) eingebettet wurden. Moderne Browser blockieren diese zunehmend.

Sicherheitsaspekte

Cookies, die Sitzungsinformationen tragen, sind ein attraktives Angriffsziel. Übliche Schutzmaßnahmen:

  • HttpOnly setzen, um Auslesen per JavaScript zu verhindern.
  • Secure setzen, sobald HTTPS verfügbar ist.
  • SameSite=Lax oder Strict als Standard wählen.
  • Sitzungs-IDs serverseitig kurz halten und beim Login rotieren.

Abgrenzung zu Local Storage

Cookies werden bei jeder Anfrage automatisch mitgesendet — nützlich für Server-Authentifizierung, aber auch eine Belastung. Local Storage und Session Storage im Browser speichern Daten ausschließlich clientseitig und werden nie automatisch übertragen.

/ Weiter

Zurück zu IT

Zur Übersicht