Cookieとは、Webサイトがブラウザに保存する小さな情報です。
たとえば、ログイン状態、表示言語、カートに入れた商品の情報などを覚えるために使われます。Webサイトを閉じても次に開いたときに状態が残ることがあるのは、Cookieが関係している場合があります。
Cookieは「食べ物のクッキー」ではなく、ブラウザとWebサイトの間で使われる小さなメモのような情報です。
この記事では、Cookieの意味、保存される情報、サーバーとのやり取り、キャッシュやWeb Storageとの違い、安全に使うポイントを初心者向けに整理します。
Cookieはサイト別に残る小さな情報
Cookieは、Webサイトがブラウザに保存し、必要に応じて同じサイトへ送り返される情報です。MDNでも、Cookieはサーバーがユーザーのブラウザへ送る小さなデータで、ブラウザが保存し、後続のリクエストで同じサーバーへ返すものとして説明されています。
最初は「Webサイトが、ブラウザ側に残しておく小さなメモ」と考えると理解しやすいです。ただし、何でも保存してよい場所ではなく、保存内容や送信条件には注意が必要です。
ブラウザ、Cookie、Webサイトの関係を見てください。Cookieはブラウザに保存されますが、Webサイトとのやり取りの中で使われます。
Cookieが使われる代表例
Cookieは、Webサイトが「この利用者は前にも来た」「この設定を選んでいた」と判断するために使われます。代表的な用途は、ログイン状態の維持、表示設定、ショッピングカート、アクセス解析などです。
重要なのは、Cookieにパスワードをそのまま保存するのが一般的な使い方ではない、という点です。多くの場合は、利用者やセッションを識別するID、設定値、状態を示す小さな値を保存します。便利な用途がある一方で、閲覧状況の計測や追跡に使われることもあります。
Cookieが保存されて送られる流れ
Cookieは、ブラウザだけで勝手に作られるものではありません。典型的には、サーバーがHTTPレスポンスでSet-Cookieを返し、ブラウザがそれを保存します。その後、同じサイトへアクセスするときに、ブラウザがCookieヘッダーとして送り返します。
HTTPヘッダーで見ると、イメージは次のようになります。実際には属性が増えることもありますが、まずはSet-CookieとCookieの2つを分けて見れば十分です。
HTTP/1.1 200 OK
Set-Cookie: session_id=abc123; Secure; HttpOnly; SameSite=Lax
GET /mypage HTTP/1.1
Cookie: session_id=abc123HTTPの基本はHTTPとは?HTTPSとは?、Webページを開く入口はURLとは?で詳しく整理しています。
セッションCookieと永続Cookie
Cookieには、大きく分けてセッションCookieと永続Cookieがあります。セッションCookieは、ブラウザを閉じるまでの一時的な情報として使われます。永続Cookieは、有効期限が設定され、ブラウザを閉じた後も残ることがあります。
| 種類 | 残り方 | よくある用途 |
|---|---|---|
| セッションCookie | ブラウザを閉じるまで残ることが多い | ログイン中の一時的な状態 |
| 永続Cookie | 有効期限まで残る | 表示設定、同意状態、再訪問の判定 |
ただし、実際の挙動はブラウザ設定やサイト側の作りによって変わります。初心者の段階では、「Cookieには一時的なものと、期限付きで残るものがある」と押さえれば十分です。
Cookieとキャッシュ、Web Storageの違い
Cookieと混同しやすい言葉に、キャッシュ、localStorage、sessionStorageがあります。どれもブラウザに情報が残ることがありますが、目的と送信のされ方が違います。
次の比較図では、Cookie、キャッシュ、localStorage、sessionStorageの違いを整理してください。特にCookieは、条件を満たすとHTTPリクエストに付いてサーバーへ送られる点が大きな特徴です。
| 用語 | 主な目的 | サーバーへ自動で送られるか |
|---|---|---|
| Cookie | ログイン状態や設定を扱う | 条件を満たすと送られる |
| キャッシュ | 画像やCSSなどを再利用して表示を速くする | Cookieとは目的が違う |
| localStorage | ブラウザ内にデータを保存する | 自動では送られない |
| sessionStorage | タブ単位の一時保存 | 自動では送られない |
Cookieを削除するとどうなるか
Cookieを削除すると、ログイン状態が切れたり、表示設定が初期状態に戻ったり、ショッピングカートの内容が消えたりすることがあります。これは、サイトがCookieを使って状態を覚えていたためです。
一方で、不要なCookieを削除したり、サードパーティCookieを制限したりすることは、プライバシー保護の観点で役立つ場合があります。ブラウザの設定画面では、サイトごとにCookieを確認・削除できることが多いです。
サードパーティCookieとは
Cookieには、今開いているサイトが発行するファーストパーティCookieと、別のドメインが関係するサードパーティCookieがあります。サードパーティCookieは、広告配信や計測などで使われることがあり、プライバシー上の理由から制限される方向にあります。
初心者は、まず「Cookieは便利な状態保存にも使われるが、閲覧状況をまたいで把握する用途にも使われることがある」と理解しておくとよいです。細かいブラウザ別の制限は変わるため、実務では各ブラウザや公式情報を確認します。
安全に使うための確認ポイント
Cookieは便利ですが、ログイン状態や識別情報に関係するため、扱いを間違えるとセキュリティやプライバシーの問題につながります。利用者側と開発者側で見るポイントを分けると整理しやすくなります。
次の図では、Cookieを安全に使うための確認ポイントを見てください。利用者は設定や削除、開発者は属性と保存内容を確認します。
開発者が最初に見るCookie属性
Web開発でCookieを扱う場合は、値だけでなく属性も重要です。属性は、Cookieをどの範囲で、いつまで、どの通信で送るかを決めます。
| 属性 | ざっくりした役割 | 初心者向けの見方 |
|---|---|---|
| Expires / Max-Age | 有効期限を決める | いつまで残すか |
| Domain | 送信先ドメインの範囲を決める | どのサイトへ送るか |
| Path | 送信するパスの範囲を決める | どのURL配下で使うか |
| Secure | HTTPS通信でだけ送る | 盗み見対策の基本 |
| HttpOnly | JavaScriptから読み取れないようにする | XSS被害を減らす一助 |
| SameSite | 別サイト経由の送信を制御する | CSRF対策と関係する |
OWASPのセッション管理に関する資料でも、セッションIDの保護やCookie属性の設定は重要な対策として扱われています。実務でログインに関係するCookieを扱う場合は、フレームワーク任せにせず、属性と保存内容を確認しましょう。
既存記事とあわせて読む順番
Cookieはブラウザ、URL、HTTP、サーバーとの関係で理解するとつながります。まずブラウザでWebページを開く流れを押さえ、そのうえでHTTPヘッダーとしてCookieを見ると理解しやすいです。
公式情報と関連リンク
Cookieの基本はMDNのHTTP cookies、Set-Cookieヘッダー、Web Storageとの違いはMDNのWeb Storage APIが参考になります。セッション管理の安全性はOWASPの資料も確認対象になります。
まとめ
Cookieは、Webサイトがブラウザに保存する小さな情報です。
Cookieを理解すると、ブラウザ、HTTP、ログイン、セッション管理の関係が見えやすくなります。まずは「ブラウザに残るサイト別の小さなメモ」として押さえ、次に送信の流れと安全設定を確認していきましょう。