InspectWP Logo
Glossar

Was sind Cookie-Sicherheitsflags?

8. Februar 2026

Cookie-Sicherheitsflags sind Attribute, die du an HTTP-Cookies setzen kannst, um zu steuern, wie Browser mit ihnen umgehen. Die drei wichtigsten Flags — Secure, HttpOnly und SameSite — schützen deine Website und Nutzer vor Session-Hijacking, Cross-Site-Scripting (XSS) und Cross-Site-Request-Forgery (CSRF)-Angriffen.

Das Secure-Flag

Wenn ein Cookie das Secure-Flag hat, sendet der Browser es nur über verschlüsselte HTTPS-Verbindungen — niemals über unverschlüsseltes HTTP. Dies verhindert, dass Angreifer Cookies über Man-in-the-Middle-Angriffe auf unverschlüsselten Verbindungen abfangen.

Set-Cookie: session_id=abc123; Secure

Ohne Secure: Wenn ein Nutzer deine Seite versehentlich über HTTP aufruft (z. B. in einem öffentlichen WLAN), werden Cookies im Klartext gesendet und können gestohlen werden.

Das HttpOnly-Flag

Das HttpOnly-Flag verhindert, dass JavaScript über document.cookie auf das Cookie zugreifen kann. Dies ist für Session-Cookies entscheidend, da es XSS-Angriffe daran hindert, Session-Tokens zu stehlen.

Set-Cookie: session_id=abc123; HttpOnly

Ohne HttpOnly: Eine einzige XSS-Schwachstelle ermöglicht es einem Angreifer, document.cookie auszuführen und alle nicht-HttpOnly-Cookies zu stehlen, was zu Session-Hijacking führt.

Das SameSite-Flag

Das SameSite-Attribut steuert, ob ein Cookie mit Cross-Site-Anfragen gesendet wird. Es hat drei Werte:

  • SameSite=Strict — Cookie wird niemals mit Cross-Site-Anfragen gesendet. Am sichersten, kann aber legitime Cross-Site-Abläufe unterbrechen, wie das Klicken eines Links aus einer E-Mail.
  • SameSite=Lax — Cookie wird bei Top-Level-Navigation (Klick auf einen Link) gesendet, aber nicht mit eingebetteten Ressourcen oder Formularen von anderen Seiten. Dies ist der Standard in modernen Browsern.
  • SameSite=None — Cookie wird mit allen Cross-Site-Anfragen gesendet. Muss mit Secure kombiniert werden. Wird für Third-Party-Cookies (Werbung, Embeds) verwendet.
Set-Cookie: session_id=abc123; SameSite=Lax

Empfohlene Cookie-Konfiguration

Für Session-Cookies und Authentifizierungs-Cookies solltest du immer alle drei Flags setzen:

Set-Cookie: session_id=abc123; Secure; HttpOnly; SameSite=Lax; Path=/

Warum diese Flags wichtig sind

  • Secure verhindert, dass Cookies über unverschlüsselte Verbindungen übertragen werden.
  • HttpOnly blockiert XSS-basiertes Cookie-Stehlen.
  • SameSite verhindert CSRF-Angriffe.

Zusammen bilden diese drei Flags eine kritische Verteidigungsschicht für jede Website, die Cookies für Authentifizierung oder Tracking verwendet.

Wie InspectWP hilft

InspectWP analysiert alle Cookies, die von deiner WordPress-Seite gesetzt werden, und markiert alle, bei denen die Secure-, HttpOnly- oder SameSite-Attribute fehlen. So kannst du leicht erkennen, welche Cookies gehärtet werden müssen.

Vorheriger Artikel

Was ist XML-RPC?

Nächster Artikel

Twitter Card Tags in WordPress hinzufügen

Verwandte Artikel

Benutzerdefiniertes Login-Seiten Styling

WordPress Debug-Log sicher aktivieren

WP-Cron durch echten Cronjob ersetzen

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren