O que é um cookie em termos simples?

Um cookie é um pequeno arquivo de texto — geralmente algumas centenas de bytes — que um site guarda no seu navegador. O navegador devolve o cookie para esse mesmo site em cada requisição seguinte, o que permite ao site lembrar coisas como o estado do seu login, a preferência de idioma ou o carrinho de compras entre carregamentos de página e visitas.

Cookies são perigosos ou vírus?

Não. Um cookie é um registro de texto passivo, não um executável. Ele não consegue instalar software, ler arquivos fora do armazenamento de cookies do navegador, nem rodar código sozinho. O risco de privacidade dos cookies está no rastreamento e no roubo de sessão, não em malware. Cookies de terceiros permitem o rastreamento entre sites; cookies de sessão roubados podem deixar um atacante se passar por você em um site onde você está logado.

Qual a diferença entre cookies de origem e de terceiros?

Um cookie de origem é definido pelo site cujo endereço está na barra de URL (o site que você está visitando). Um cookie de terceiros é definido por outro domínio cujo script ou imagem está embutido naquela página — geralmente uma rede de anúncios, um serviço de analytics ou um widget social. Os navegadores estão restringindo progressivamente os cookies de terceiros porque eles são o principal mecanismo de rastreamento entre sites.

O que é um cookie de sessão versus um cookie persistente?

Um cookie de sessão não tem atributo Expires nem Max-Age e é apagado quando a sessão do navegador termina — normalmente quando você fecha o navegador. Um cookie persistente tem uma data Expires explícita no futuro e sobrevive entre sessões do navegador até essa data, até você apagá-lo manualmente, ou até uma ferramenta de limpeza automática removê-lo.

O que o atributo SameSite faz?

O SameSite controla se o navegador envia um cookie em requisições entre sites. SameSite=Strict significa que o cookie só é enviado em requisições do mesmo site. SameSite=Lax (o padrão moderno no Chrome desde 2020) envia o cookie em requisições do mesmo site mais navegações GET de nível superior entre sites. SameSite=None envia o cookie em qualquer requisição entre sites e exige Secure. O SameSite é a principal defesa do navegador contra CSRF e rastreamento de cookies entre sites.

O que é HttpOnly e por que isso importa?

HttpOnly é uma flag de cookie que oculta o cookie do JavaScript que roda na página. O document.cookie não consegue ler nem modificar um cookie HttpOnly. A flag é a principal defesa do navegador contra o roubo de cookies de sessão via XSS — mesmo que um atacante injete script na sua página, ele não consegue ler um cookie de sessão HttpOnly.

Os cookies de terceiros estão sendo eliminados?

Sim, gradualmente. Safari e Firefox já bloqueiam cookies de terceiros por padrão. O Chrome anunciou vários cronogramas de eliminação e, a partir de 2024, optou por um modelo de escolha do usuário, com as APIs da Privacy Sandbox como substituto proposto para segmentação de anúncios e medição. O CHIPS (Cookies Having Independent Partitioned State) permite que um site coloque explicitamente cookies de terceiros em particionamento por site de nível superior, para que sobrevivam sem habilitar o rastreamento entre sites.

Como visualizo, edito ou apago cookies no meu navegador?

No Chrome, abra as DevTools (F12) → Application → Storage → Cookies para visualizá-los e editá-los; abra Settings → Privacy and security → Cookies para apagá-los em massa. Para fluxos repetíveis, instale uma extensão Manifest V3 como o CookieVault Editor. Veja nossos guias passo a passo para apagar, editar e exportar cookies.

Qual é o tamanho ou número máximo de cookies?

A RFC 6265 recomenda que os navegadores suportem ao menos 4.096 bytes por cookie (nome mais valor combinados) e ao menos 50 cookies por domínio. Na prática, Chrome e Firefox aplicam cerca de 4 KB por cookie e em torno de 180 cookies por domínio. Procure manter os cookies pequenos — cookies grandes são enviados em cada requisição ao domínio correspondente, o que adiciona latência.

O que é um cookie? Cookies de navegador explicados (guia 2026)

TL;DR: Um cookie é um pequeno dado — geralmente algumas centenas de bytes — que um site guarda no seu navegador para lembrar informações entre requisições. Os cookies fazem funcionar logins, carrinhos de compras e analytics; eles também viabilizaram a era do rastreamento entre sites que os navegadores agora estão encerrando.

Um cookie é um registro de texto do tipo nome-valor que um site define no seu navegador por meio do cabeçalho de resposta HTTP Set-Cookie, e que o navegador anexa automaticamente às requisições seguintes para o mesmo domínio por meio do cabeçalho de requisição Cookie. Os cookies são o mecanismo original de estado em uma web HTTP que, fora isso, não tem estado — eles antecedem o localStorage, o IndexedDB, os service workers e toda alternativa moderna de armazenamento no cliente. Todo cookie que você já encontrou, do “continuar conectado” ao banner de consentimento da UE que pergunta sobre eles, é governado por esse único e pequeno protocolo¹.

Como os cookies funcionam

Em resumo: Os cookies são uma camada fina sobre o HTTP. O servidor define um com um cabeçalho de resposta Set-Cookie: name=value; o navegador o guarda em um pote de cookies por domínio; em cada requisição correspondente seguinte, o navegador envia de volta Cookie: name=value. Não há handshake no lado do cliente — o navegador obedece às diretivas do servidor dentro dos limites da RFC 6265.

O mecanismo de cookies é amplamente creditado a Lou Montulli, um engenheiro da Netscape, que o introduziu em 1994 para resolver o “lembrar o carrinho de compras entre páginas” para o cliente de e-commerce MCI Net². Três décadas depois, o protocolo subjacente está essencialmente inalterado. A especificação formal é a IETF RFC 6265¹, com uma revisão ativa nos drafts da IETF³ que aperta as fronteiras de segurança e privacidade.

Uma troca mínima de cookie tem este aspecto:

# Resposta do servidor
HTTP/1.1 200 OK
Set-Cookie: sid=abc123; Path=/; HttpOnly; Secure; SameSite=Lax

# Requisição seguinte do cliente para o mesmo site
GET /account HTTP/1.1
Cookie: sid=abc123

O navegador não interpreta o valor abc123 — ele é opaco para o navegador. O servidor é quem o interpreta (normalmente como uma chave de sessão no banco de dados). O trabalho do navegador é decidir quais cookies anexar a cada requisição com base nos atributos Domain, Path, Secure, SameSite e de expiração do cookie.

Ponto-chave: Um cookie é definido pelo servidor, guardado pelo navegador e lido pelo servidor em cada requisição correspondente seguinte. O navegador é o mensageiro, não o autor.

Em resumo: Um cookie tem uma parte obrigatória (name=value) e sete atributos que o servidor pode definir: Domain, Path, Expires, Max-Age, Secure, HttpOnly e SameSite. Cada atributo estreita ou restringe quando o navegador devolve o cookie.

O conjunto completo de atributos definido pela RFC 6265¹ e pela sua revisão bis³:

Nome e Valor — o único par obrigatório. Texto ASCII. Juntos devem caber em cerca de 4 KB⁴.
Domain — por padrão, o host que enviou o Set-Cookie. Definir Domain=example.com faz o cookie valer para example.com e todos os subdomínios.
Path — por padrão, o diretório do caminho da requisição. Definir Path=/account limita o cookie a URLs sob /account.
Expires / Max-Age — data ou duração. Omitir ambos torna o cookie um cookie de sessão (apagado quando a sessão do navegador termina). Max-Age=0 apaga o cookie imediatamente.
Secure — quando definido, o navegador só envia o cookie por HTTPS. Requisições em HTTP puro não o veem.
HttpOnly — quando definido, o JavaScript na página não consegue acessar o cookie via document.cookie. A principal defesa contra o roubo de cookies de sessão por XSS.
SameSite — Strict / Lax / None. Governa o comportamento em requisições entre sites (tratado abaixo).
Priority (extensão específica do Chrome) — Low / Medium / High. Sugere ao navegador quais cookies despejar primeiro quando o pote de cookies por domínio está cheio.

Tipos de cookies

Em resumo: Os cookies são classificados em dois eixos ortogonais — tempo de vida (sessão vs persistente) e origem (de origem vs de terceiros). Um único cookie sempre tem um valor em cada eixo. As regulamentações de privacidade e as configurações do navegador então acrescentam um sistema de categorias baseado em uso (estritamente necessário / funcional / analytics / publicidade) que você vê nos banners de consentimento.

Seis categorias comuns das quais usuários e reguladores falam, mapeadas no protocolo subjacente:

Categoria	Tempo de vida	Origem	Uso típico	Política padrão do navegador (2026)
Cookie de sessão	Sessão	De origem	Sessão de login, carrinho atual	Permitido por padrão
Persistente de origem	Persistente	De origem	”Lembrar de mim”, preferência de idioma	Permitido por padrão
Estritamente necessário	Qualquer	De origem	Autenticação, prevenção de fraude	Sem necessidade de consentimento (GDPR)
Funcional / preferência	Persistente	De origem	Tema da UI, tamanho da fonte	Consentimento recomendado (GDPR)
Analytics de origem	Persistente	De origem	Analytics de origem	Consentimento exigido na UE
Publicidade de terceiros	Persistente	De terceiros	Segmentação de anúncios, retargeting, IDs entre sites	Bloqueado no Safari / Firefox; restrito no Chrome⁵

O Information Commissioner’s Office (Reino Unido) resume a distinção de forma sucinta⁶:

Cookies estritamente necessários são aqueles essenciais para fornecer um serviço online solicitado pelo usuário. A maioria dos outros cookies exige consentimento informado antes de serem definidos.

Para que os cookies são usados

Em resumo: No nível do protocolo, um cookie é um armazenamento genérico de nome-valor. Na prática, a web usa cookies para seis tarefas distintas, em ordem mais ou menos decrescente de quanto importam para a experiência do usuário.

Os seis casos de uso dominantes de cookies na web moderna:

Autenticação e gerenciamento de sessão — um cookie de ID de sessão que diz ao servidor a qual usuário logado uma requisição pertence. Quase sempre HttpOnly, Secure, SameSite=Lax ou Strict.
Tokens de proteção CSRF — um valor anti-falsificação aleatório que o servidor verifica em requisições que alteram estado. Geralmente combinado com um campo de formulário oculto.
Carrinho de compras e trabalho inacabado — preservar o conteúdo do carrinho e os rascunhos de formulário entre carregamentos de página. Muitas vezes um único ID apontando para o estado guardado no servidor.
Preferências do usuário — idioma, tema, densidade do layout, configurações de acessibilidade. Pequenos cookies persistentes com Max-Age de meses a anos.
Analytics de origem — identificação de visitantes e cronometragem de sessão para produtos como Plausible, Fathom ou PostHog auto-hospedado (quando configurado com base em cookies).
Publicidade e rastreamento entre sites — cookies de terceiros definidos por redes de anúncios, plataformas de retargeting e de analytics que precisam identificar o mesmo usuário em vários sites. Essa é a categoria que os navegadores estão encerrando ativamente.

Para desenvolvedores, a implicação prática é que a maioria dos cookies que você define deveria ser de origem, limitada ao site atual, marcada como HttpOnly e Secure, e com SameSite=Lax, a menos que você tenha um fluxo específico entre sites que precise de None.

SameSite, HttpOnly, Secure — os três atributos de segurança

Em resumo: Três atributos de cookie — SameSite, HttpOnly e Secure — defendem contra três classes diferentes de ataque. Definir os três corretamente é a melhoria de segurança de cookies de maior alavancagem que um servidor pode fazer.

Esses três atributos formam a base moderna de segurança de cookies. Cada um defende contra uma classe específica de ataque:

Secure defende contra a interceptação passiva de rede. O navegador se recusa a enviar o cookie por HTTP puro. Obrigatório em qualquer cookie que guarde estado de sessão, já que o roubo de sessão em uma rede Wi-Fi aberta seria, do contrário, trivial.
HttpOnly defende contra o roubo de sessão via XSS. JavaScript injetado na página por uma vulnerabilidade de cross-site-scripting não consegue ler um cookie HttpOnly via document.cookie. O servidor ainda o vê; o script do atacante, não.
SameSite defende contra CSRF e rastreamento entre sites. Três valores:
- SameSite=Strict — o cookie só é enviado em requisições do mesmo site. Proteção máxima; às vezes inconveniente (um usuário que clica de outro site para o seu domínio aparecerá deslogado na primeira requisição).
- SameSite=Lax — o cookie é enviado em requisições do mesmo site mais navegações GET de nível superior entre sites (cliques em links). O padrão moderno do Chrome desde 2020⁷.
- SameSite=None — o cookie é enviado em toda requisição entre sites. Obrigatório para cookies de terceiros legítimos (single sign-on, widgets de pagamento embutidos). Deve ser combinado com Secure.

A orientação do web.dev do Google é explícita sobre a ordem de prioridade⁷: “Se você fizer apenas uma coisa hoje, defina SameSite=Lax em todo cookie de sessão.”

Cookies de origem vs de terceiros e a história do fim deles

Em resumo: Um cookie de origem é definido pelo site na barra de URL; um cookie de terceiros é definido por outro domínio cujo código roda naquele site. Os cookies de terceiros construíram a economia moderna de rastreamento por anúncios, e os navegadores modernos estão restringindo ou eliminando-os sistematicamente.

O encerramento dos cookies de terceiros é a mudança mais consequente no ecossistema de cookies desde a criação do protocolo. Situação por navegador em meados de 2026:

Safari — os cookies de terceiros são bloqueados por padrão desde que a Intelligent Tracking Prevention (ITP) chegou no Safari 11 (2017), com sucessivos endurecimentos.
Firefox — os cookies de terceiros são particionados por padrão sob a Total Cookie Protection (TCP) desde 2022, eliminando efetivamente o rastreamento entre sites.
Chrome — após vários adiamentos da eliminação completa dos cookies de terceiros⁵, optou por uma abordagem de escolha do usuário, com as APIs da Privacy Sandbox como substituto proposto para segmentação de anúncios, atribuição e prevenção de fraude.

Para casos de uso legítimos entre sites (login federado, iframes de checkout embutidos), a alternativa moderna é o CHIPS — Cookies Having Independent Partitioned State⁸. Um cookie com o atributo Partitioned é guardado em um pote separado por site de nível superior, de modo que o mesmo iframe carregado sob dois sites-pai diferentes não consegue ler o mesmo cookie. O CHIPS preserva o caso de uso legítimo de “lembrar as configurações dentro deste widget” enquanto quebra o fluxo de identificador entre sites.

Se você mantém um serviço que hoje depende de cookies de terceiros, o trabalho imediato é auditar seus cookies para ver quais precisam de visibilidade entre sites (use o CHIPS) versus quais eram rastreamento por design (reconstrua sobre a Privacy Sandbox ou dados de origem).

Como visualizar, editar e apagar cookies

Em resumo: Todo navegador moderno permite que você veja cookies pelas Configurações ou pelas DevTools. Para fluxos repetíveis — depurar bugs de sessão, exportar cookies como fixtures de teste, auditar o que um site guardou — uma extensão Manifest V3 como o CookieVault Editor é a ferramenta padrão. O fluxo de inspeção em oito passos abaixo funciona em todo navegador Chromium.

Referência rápida em oito passos para visualizar e editar cookies no Chrome (Edge, Brave, Opera, Vivaldi e Arc funcionam de forma idêntica; o Firefox é parecido, com um layout de menu diferente):

Abra o site-alvo em uma aba.
Pressione F12 para abrir as DevTools.
Clique na aba Application.
Na barra lateral esquerda, sob Storage, clique em Cookies.
Clique no domínio para ver todos os cookies no escopo.
Dê um duplo-clique em uma célula (Value, Expires, SameSite, etc.) para editá-la no lugar.
Pressione Enter para confirmar a edição; o navegador a aplica imediatamente.
Recarregue a página para enviar o cookie modificado na próxima requisição.

Para apagar cookies em massa, o guia de exclusão de cookies no Chrome cobre três métodos. Para manter logins enquanto limpa rastreadores, veja limpar cookies sem perder o login. Para edições repetíveis em um clique em muitos sites, o CookieVault Editor é a ferramenta open source em Manifest V3 que mantemos.

Equívocos comuns sobre cookies

Uma breve limpeza de afirmações que você pode ter visto na internet e que não são verdadeiras:

“Cookies são vírus” — falso. Um cookie é um registro de texto passivo. Ele não consegue instalar software, rodar código ou acessar arquivos fora do armazenamento de cookies do navegador.
“Cookies guardam sua senha” — quase sempre falso. Um cookie de login guarda um ID de sessão, não uma senha. A senha é enviada uma vez ao servidor, com hash, e o servidor devolve um cookie de ID de sessão. A senha em si não está no cookie.
“Desativar cookies deixa você anônimo” — falso. Os navegadores são identificáveis por fingerprint por muitos outros canais (User-Agent, resolução de tela, fontes, hashes de WebGL, endereço IP) que não dependem de cookies.
“Todos os cookies rastreiam você entre sites” — falso. Cookies de origem definidos pelo site que você está visitando não veem você em outros sites. O rastreamento entre sites é especificamente uma preocupação de cookies de terceiros.
“Cookies são ilegais sob o GDPR” — falso. Cookies são legais. O que o GDPR (e a Diretiva ePrivacy) regulam é a exigência de consentimento para cookies não essenciais. Cookies estritamente necessários não exigem consentimento.
“Limpar cookies resolve todo problema do navegador” — parcialmente verdadeiro. Limpar cookies vai redefinir o estado de sessão e de preferências. Não vai corrigir recursos em cache, bugs de service worker ou conflitos de extensão.

Veja também

Como apagar cookies no Chrome
Limpar cookies sem perder o login
Como editar cookies no Chrome
Como exportar cookies para JSON
CookieVault Editor — o gerenciador de cookies open source em Manifest V3
CookieVault Guardian — apaga cookies ao fechar a aba

A especificação atual da IETF é a RFC 6265 — “HTTP State Management Mechanism”, disponível em https://datatracker.ietf.org/doc/html/rfc6265. Esse documento define os cabeçalhos Set-Cookie e Cookie, a semântica dos atributos de cookie, o modelo de armazenamento e as regras de correspondência de cookies. ↩ ↩² ↩³
A referência de cookies HTTP da Mozilla Developer Network, em https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies, resume o conjunto moderno de atributos de cookie e as regras de processamento no lado do navegador. A história de origem de 1994 é amplamente citada em fontes de história da web e remonta ao trabalho de Lou Montulli na Netscape em um recurso de “cesta de compras”. ↩
A revisão ativa da especificação de cookies é a “RFC 6265bis” — formalmente draft-ietf-httpbis-rfc6265bis — publicada no grupo de trabalho HTTP da IETF em https://datatracker.ietf.org/doc/draft-ietf-httpbis-rfc6265bis/. Ela aperta as regras de prefixo (__Host-, __Secure-), formaliza o SameSite e refina a semântica de particionamento. ↩ ↩²
Os números de 4 KB por cookie e 50 cookies por domínio são recomendações da RFC 6265 §6.1. Os limites reais dos navegadores são cerca do dobro do mínimo recomendado, mas variam por navegador; a referência da API chrome.cookies da equipe do Chrome, em https://developer.chrome.com/docs/extensions/reference/api/cookies, documenta os limites práticos do Chrome. ↩
A posição do Chrome sobre cookies de terceiros mudou várias vezes. A abordagem atual está documentada sob a Privacy Sandbox em https://developer.chrome.com/docs/privacy-sandbox/. As páginas de status e a documentação de cada API sob essa raiz acompanham as mudanças em andamento. ↩ ↩²
O Information Commissioner’s Office (ICO) do Reino Unido publica orientações práticas sobre cookies e consentimento sob as Privacy and Electronic Communications Regulations (PECR). O ICO reestruturou essa página de orientação várias vezes e a URL é instável; pesquise “ICO PECR cookies guidance” ou comece em https://ico.org.uk e navegue até “For organisations → Online tracking”. A definição de “estritamente necessário” parafraseada no comentário da tabela acima segue a formulação do ICO. ↩
O guia do web.dev do Google “SameSite cookies explained”, em https://web.dev/articles/samesite-cookies-explained, é a referência canônica voltada a profissionais sobre os padrões do SameSite e o histórico de implantação no Chrome. ↩ ↩²
A especificação CHIPS — “Cookies Having Independent Partitioned State” — está documentada em https://developer.chrome.com/docs/privacy-sandbox/chips. O CHIPS permite que um cookie entre sites opte pelo particionamento por site de nível superior, para que sobreviva ao bloqueio de cookies de terceiros sem habilitar o rastreamento entre sites. ↩

O que é um cookie? Cookies de navegador explicados