Cookies — hur sajter minns dig.

Cookies infördes 1994 av Netscape som en hack för att lägga till state ovanpå ett statelöst protokoll. Hacket blev permanent. Idag är cookie-attributen — SameSite, HttpOnly, Secure — vad som gör skillnaden mellan en säker session och en stulen identitet.

01Anatomy of Set-Cookie

En komplett Set-Cookie kan se ut så här:

Varje attribut har en specifik säkerhetsroll:

• Path — vilka URL:er får browsern skicka cookien till.
• Domain — vilken domän äger cookien. Domain=säkerkoll.se ger även subdomäner åtkomst.
• Max-Age / Expires — hur länge cookien gäller. Utan båda = session-cookie (försvinner när browsern stängs).
• Secure — skickas bara över HTTPS. Aldrig HTTP.
• HttpOnly — osynlig för JavaScript. document.cookie kan inte läsa den. Stoppar XSS från att stjäla session.
• SameSite — den viktigaste i CSRF-försvaret. Tre värden: Strict, Lax, None.

02SameSite — den moderna nyckelförsvararen

SameSite styr om cookien skickas vid cross-site requests — alltså requests som initieras från en annan sajt:

• Strict — cookien skickas aldrig från en annan sajt. Strängast, kan bryta legitim cross-site UX (t.ex. om någon delar en länk till en post på Facebook och du klickar — du behöver logga in igen).
• Lax — modern default. Skickas vid top-level GET-navigationer från andra sajter, men inte vid cross-site POST eller iframe-laddningar.
• None — skickas alltid. Måste kombineras med Secure. Används för iframes och cross-site embeds (t.ex. analytics-pixels).

Sedan Chrome 80 (2020) är default Lax om SameSite inte anges. Det dödade en stor klass CSRF-attacker över en natt.

03CSRF: när cookies blir vapnet mot dig

Cross-Site Request Forgery utnyttjar att browsern automatiskt skickar cookies med varje request — även om requestet initieras från en illvillig sajt:

Försvar: SameSite=Lax/Strict, plus CSRF-tokens (slumpat värde i ett dolt fält som måste matcha sessionen), plus Origin-header-verifiering.

04Sessions: server-side vs stateless

• Server-side sessions — cookien innehåller bara ett ID. Sessions-data (vem du är, behörigheter, varukorg) ligger på servern. Kan revokeras direkt. Skalas svårare över flera servrar (behöver delad lagring som Redis).
• Stateless tokens — hela sessionsdatan ligger i token (JWT). Servern lagrar inget. Lätt att skala, svårare att revokera enskilda sessioner.

Hybrid är vanligast: stateless tokens för API-trafik, server-side sessions för admin-UI där revokering måste vara omedelbar.

05Prova själv — sätt cookies med olika attribut

Konfigurera en cookie och se exakt vad Set-Cookie-headern blir. Bocka i attributen och se hur browser-beteendet förändras.

06Checklista — en säker cookie 2026

• Secure — alltid, även i utvecklingsmiljö när möjligt
• HttpOnly — för alla auth/session-cookies. Bara opt-out om JS måste läsa.
• SameSite=Lax som minimum. Strict för känsliga sajter (banker, admin).
• __Host-prefix — cookies som börjar med __Host- kräver Secure, Path=/, och ingen Domain. Hindrar subdomain-spoofing.
• Max-Age kort för auth — typ 24 timmar för session, längre bara för "remember me" med separata regler