aboutsummaryrefslogtreecommitdiff
path: root/files/fr/web/http/headers/set-cookie
diff options
context:
space:
mode:
authorjulieng <julien.gattelier@gmail.com>2021-09-17 20:50:13 +0200
committerSphinxKnight <SphinxKnight@users.noreply.github.com>2021-10-12 07:57:56 +0200
commit0fe03b92344c0f9b0d4ada2146d4480997ab2e25 (patch)
treeb2b704c9e2987a769980ad0d619ff1bd879c7e34 /files/fr/web/http/headers/set-cookie
parentdf12ec2617159d79d2ea959389358ef52423f9ff (diff)
downloadtranslated-content-0fe03b92344c0f9b0d4ada2146d4480997ab2e25.tar.gz
translated-content-0fe03b92344c0f9b0d4ada2146d4480997ab2e25.tar.bz2
translated-content-0fe03b92344c0f9b0d4ada2146d4480997ab2e25.zip
convert content to md
Diffstat (limited to 'files/fr/web/http/headers/set-cookie')
-rw-r--r--files/fr/web/http/headers/set-cookie/index.md323
-rw-r--r--files/fr/web/http/headers/set-cookie/samesite/index.md131
2 files changed, 212 insertions, 242 deletions
diff --git a/files/fr/web/http/headers/set-cookie/index.md b/files/fr/web/http/headers/set-cookie/index.md
index 5208808eb7..df60ff6351 100644
--- a/files/fr/web/http/headers/set-cookie/index.md
+++ b/files/fr/web/http/headers/set-cookie/index.md
@@ -10,204 +10,187 @@ tags:
- samesite
translation_of: Web/HTTP/Headers/Set-Cookie
---
-<div>{{HTTPSidebar}}</div>
+{{HTTPSidebar}}
-<p>L'en-tête de réponse HTTP <strong><code>Set-Cookie</code></strong> est utilisé pour envoyer un cookie depuis le serveur à l'agent utilisateur afin qu'il puisse le renvoyer dans l'avenir.</span> Pour envoyer plusieurs cookies, on enverra plusieurs en-têtes <code>Set-Cookie</code> dans la même réponse.</p>
+L'en-tête de réponse HTTP **`Set-Cookie`** est utilisé pour envoyer un cookie depuis le serveur à l'agent utilisateur afin qu'il puisse le renvoyer dans l'avenir. Pour envoyer plusieurs cookies, on enverra plusieurs en-têtes `Set-Cookie` dans la même réponse.
-<div class="warning">
- <p><strong>Attention :</strong> Les navigateurs empêchent le code JavaScript <i>front-end</i> d'accéder à l'en-tête <code>Set-Cookie</code>, comme l'exige la spécification Fetch, qui définit <code>Set-Cookie</code> comme un <a href="https://fetch.spec.whatwg.org/#forbidden-response-header-name">nom d'en-tête de réponse interdit</a> qui <a href="https://fetch.spec.whatwg.org/#ref-for-forbidden-response-header-name%E2%91%A0">doit être filtré</a> de toute réponse exposée au code <i>front-end</i>.</p>
-</div>
+> **Attention :** Les navigateurs empêchent le code JavaScript _front-end_ d'accéder à l'en-tête `Set-Cookie`, comme l'exige la spécification Fetch, qui définit `Set-Cookie` comme un [nom d'en-tête de réponse interdit](https://fetch.spec.whatwg.org/#forbidden-response-header-name) qui [doit être filtré](https://fetch.spec.whatwg.org/#ref-for-forbidden-response-header-name%E2%91%A0) de toute réponse exposée au code _front-end_.
-<p>Pour plus d'information, voir le <a href="/fr/docs/Web/HTTP/Cookies">guide sur les cookies HTTP</a>.</p>
+Pour plus d'information, voir le [guide sur les cookies HTTP](/fr/docs/Web/HTTP/Cookies).
<table class="properties">
<tbody>
<tr>
<th scope="row">Type d'en-tête</th>
- <td><a href="/fr/docs/Glossary/Response_header">En-tête de réponse</a></td>
+ <td>
+ <a href="/fr/docs/Glossary/Response_header">En-tête de réponse</a>
+ </td>
</tr>
<tr>
- <th scope="row"><a href="/fr/docs/Glossary/Forbidden_header_name">Nom d'en-tête interdit</a></th>
+ <th scope="row">
+ <a href="/fr/docs/Glossary/Forbidden_header_name"
+ >Nom d'en-tête interdit</a
+ >
+ </th>
<td>Non</td>
</tr>
<tr>
- <th scope="row"><a href="https://fetch.spec.whatwg.org/#forbidden-response-header-name">Nom d'en-tête de réponse interdit</a></th>
+ <th scope="row">
+ <a href="https://fetch.spec.whatwg.org/#forbidden-response-header-name"
+ >Nom d'en-tête de réponse interdit</a
+ >
+ </th>
<td>Oui</td>
</tr>
</tbody>
</table>
-<h2 id="syntax">Syntaxe</h2>
-
-<pre class="syntaxbox">Set-Cookie: &lt;cookie-name&gt;=&lt;cookie-value&gt;
-Set-Cookie: &lt;cookie-name&gt;=&lt;cookie-value&gt;; Expires=&lt;date&gt;
-Set-Cookie: &lt;cookie-name&gt;=&lt;cookie-value&gt;; Max-Age=&lt;non-zero-digit&gt;
-Set-Cookie: &lt;cookie-name&gt;=&lt;cookie-value&gt;; Domain=&lt;domain-value&gt;
-Set-Cookie: &lt;cookie-name&gt;=&lt;cookie-value&gt;; Path=&lt;path-value&gt;
-Set-Cookie: &lt;cookie-name&gt;=&lt;cookie-value&gt;; Secure
-Set-Cookie: &lt;cookie-name&gt;=&lt;cookie-value&gt;; HttpOnly
-
-Set-Cookie: &lt;cookie-name&gt;=&lt;cookie-value&gt;; SameSite=Strict
-Set-Cookie: &lt;cookie-name&gt;=&lt;cookie-value&gt;; SameSite=Lax
-Set-Cookie: &lt;cookie-name&gt;=&lt;cookie-value&gt;; SameSite=None
-
-// L'usage d'attributs multiples est également possible, par exemple :
-Set-Cookie: &lt;cookie-name&gt;=&lt;cookie-value&gt;; Domain=&lt;domain-value&gt;; Secure; HttpOnly</pre>
-
-<h2 id="attributes">Attributs</h2>
-
-<dl>
- <dt><code>&lt;cookie-name&gt;=&lt;cookie-value&gt;</code></dt>
- <dd><p>Un cookie commence par une paire nom-valeur:</p>
- <ul>
- <li>Le nom porté par <code>&lt;cookie-name&gt;</code> peut-être composé de n'importe quels caractères ASCII, à l'exception des caractères de contrôle, d'espace, de tabulation et des caractères de séparation suivants : <code>( ) &lt; &gt; @ , ; : \ " / [ ] ? = { }</code>.</li>
- <li>La valeur, <code>&lt;cookie-value&gt;</code>, peut éventuellement être entourée de guillemets doubles et peut être composée de n'importe quel caractère ASCII à l'exception des caractères de contrôle, des blancs, des guillemets doubles, d'une virgule, d'un point-virgule ou d'une barre oblique inversée (<i>backslash</i>). <strong>Encodage</strong> : de nombreuses implémentations encodent les caractères d'URL (<i>URL-encoding</i>) bien que ce ne soit pas nécessaire selon la RFC. Une telle transformation facilite tout de même l'utilisation de caractères autorisés.</li>
- <li>Le préfixe <strong><code>__Secure-</code></strong> : les cookies commençant par <code>__Secure-</code> (le tiret fait partie du préfixe) doivent être définis avec le drapeau <code>secure</code> depuis une page sécurisée (HTTPS).</li>
- <li>Le préfixe <strong><code>__Host-</code></strong> : Les cookies commençant par <code>__Host-</code> doivent être définis avec le drapeau <code>secure</code>, depuis une page sécurisée (HTTPS), ne doivent pas avoir de domaine spécifié (et donc pas envoyé à un sous-domaine) et le chemin doit être <code>/</code>.</li>
- </ul>
- </dd>
- <dt><code>Expires=&lt;date&gt;</code> {{optional_inline}}</dt>
- <dd>
- <p>Le temps de vie maximal d'un cookie sous la forme d'une date HTTP. Voir <a href="/fr/docs/Web/HTTP/Headers/Date"><code>Date</code></a> pour le format requis.</p>
-
- <p>Si non spécifié, le cookie devient un <strong>cookie de session</strong>. Une session finit quand le client s'arrête, les cookies de sessions sont alors supprimés à ce moment.</p>
-
- <div class="warning">
- <p><strong>Attention :</strong> Plusieurs navigateurs ont un système de récupération de session qui enregistre les onglets et les restaure quand le navigateur redémarre. Les cookies de session seront aussi restaurés comme si le navigateur ne s'était jamais arrêté.</p>
- </div>
-
- <p>Quand une telle date de péremption est indiquée, elle est relative au <em>client</em> et pas au serveur.</p>
- </dd>
- <dt><code>Max-Age=&lt;number&gt; </code>{{optional_inline}}</dt>
- <dd>Le nombre de secondes avant son expiration. Une valeur nulle ou négative fera expirer immédiatement le cookie. Si <code>Expires</code> et <code>Max-Age</code> sont configurés, <code>Max-Age</code> sera prioritaire.</dd>
- <dt><code>Domain=&lt;domain-value&gt;</code> {{optional_inline}}</dt>
- <dd><p>Le domaine où le cookie sera envoyé.</p>
- <ul>
- <li>Si omis, la valeur par défaut sera l'hôte de l'URL du document courant. Les sous-domaines ne seront pas inclus.</li>
- <li>Contrairement aux anciennes spécifications, le point au début dans les noms de domaines (<code>.example.com</code>) est ignoré.</li>
- <li>Plusieurs valeurs de domaine ne sont pas permises. Si un nom de domaine est spécifié, les sous domaines sont toujours inclus.</li>
- </ul>
- </dd>
- <dt><code>Path=&lt;path-value&gt;</code> {{optional_inline}}</dt>
- <dd>Un chemin qui doit exister dans l'URL de la requête ou le navigateur n'enverra pas d'en-tête <code>Cookie</code> correspondante par la suite. La barre oblique (<code>/</code>) est interprétée comme un séparateur de répertoire. Les sous-répertoires sont inclus, par exemple: pour <code>Path=/docs</code> les répertoires <code>/docs</code>, <code>/docs/Web/</code> et <code>/docs/Web/HTTP</code> sont concernés.</dd>
- <dt><code>Secure</code> {{optional_inline}}</dt>
- <dd><p>Un cookie sécurisé est envoyé uniquement si la requête est faite en <code>https:</code> (sauf pour <i>localhost</i>). Cependant des informations confidentielles ne devraient jamais être enregistrées dans un cookie classique, en effet le mécanique est non sécurisé et ne chiffre aucune information.</p>
- <div class="notecard note">
- <p><strong>Note :</strong> Les sites non sécurisés (<code>http:</code>) ne peuvent plus définir des cookies <code></code>Secure</code> désormais (depuis Chrome 52+ et Firefox 52+). Depuis Firefox 75, cette restriction ne s'applique pas pour <i>localhost</i>.</p>
- </div>
- </dd>
- <dt><code>HttpOnly</code> {{optional_inline}}</dt>
- <dd>Empêche JavaScript d'accéder au cookie; par exemple, au travers de la propriété <a href="/fr/docs/Web/API/Document/cookie"><code>Document.cookie</code></a>, de l'API <a href="/fr/docs/Web/API/XMLHttpRequest"><code>XMLHttpRequest</code></a> ou de l'API <a href="/fr/docs/Web/API/Request"><code>Request</code></a>. Cela protège des attaques <em>cross-site scripting</em> (<a href="/fr/docs/Glossary/XSS">XSS</a>).</dd>
- <dt><code>SameSite=&lt;samesite-value&gt;</code> {{optional_inline}}</dt>
- <dd><p>Contrôle si un cookie est envoyé avec les requêtes d'origine croisée, offrant ainsi une certaine protection contre les attaques de falsification de requêtes inter-sites (<a href="/fr/docs/Glossary/CSRF">CSRF</a>).</p>
- <div class="notecard note">
- <p><strong>Note :</strong> Les normes relatives aux <a href="/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite">Cookies SameSite</a> ont récemment changé de telle sorte que :</p>
-
- <ol>
- <li>Le comportement d'envoi des cookies si <code>SameSite</code> n'est pas spécifié est <code>SameSite=Lax</code>. Auparavant, le comportement par défaut était que les cookies étaient envoyés pour toutes les requêtes.</li>
- <li>Les cookies avec <code>SameSite=None</code> doivent désormais également spécifier l'attribut <code>Secure</code> (c'est-à-dire qu'ils nécessitent un contexte sécurisé).</li>
- </ol>
-
- <p>Les options ci-dessous couvrent le nouveau comportement. Voir le tableau <a href="/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite#browser_compatibility">Compatibilité des navigateurs</a> pour des informations sur la mise en œuvre spécifique des navigateurs (lignes : « <code>SameSite</code> : Defaults to <code>Lax</code> » et « <code>SameSite</code> : Secure context required »).</p>
- </div>
- <p>Les options sont :</p>
- <ul>
- <li><code>Strict</code> : le navigateur envoie le cookie uniquement pour les demandes provenant du même site (c'est-à-dire les demandes provenant du même site qui a défini le cookie). Si la demande provient d'une URL différente de l'URL actuelle, aucun cookie avec l'attribut <code>SameSite=Strict</code> n'est envoyé.</li>
- <li><code>Lax</code> : Le cookie n'est pas envoyé sur les requêtes inter-sites, telles que les appels pour charger des images ou des <i>iframes</i>, mais il est envoyé lorsqu'un utilisateur navigue vers le site d'origine à partir d'un site externe (par exemple, s'il suit un lien). C'est le comportement par défaut si l'attribut <code>SameSite</code> n'est pas spécifié.</li>
- <li><code>None</code> : Le navigateur envoie le cookie avec les requêtes inter-sites et les requêtes sur un même site. L'attribut <code>Secure</code> doit également être défini lorsque <code>SameSite=None</code> !</li>
- </ul>
- </dd>
-</dl>
-
-<h2 id="examples">Exemples</h2>
-
-<h3 id="session_cookie">Cookie de session</h3>
-
-<p><strong>Les cookies de session</strong> sont supprimés quand le client s'éteint. Les cookies sont des cookies de session s'ils n'ont pas de directive <code>Expires</code> ou <code>Max-Age</code>.</p>
-
-<pre>Set-Cookie: sessionId=38afes7a8</pre>
-
-<h3 id="permanent_cookie">Cookie permanent</h3>
-
-<p>Au lieu d'expirer lorsque le client est fermé, les <strong>cookies permanents</strong> expirent à une date spécifique (<code>Expires</code>) ou après une valeur de temps (<code>Max-Age</code>).</p>
-
-<pre>Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT</pre>
-
-<pre>Set-Cookie: id=a3fWa; Max-Age=2592000</pre>
-
-<h3 id="invalid_domains">Domaines invalides</h3>
-
-<p>Un cookie pour un domaine qui n'inclut pas le serveur qui le définit <a href="https://tools.ietf.org/html/rfc6265#section-4.1.2.3"> doit être rejeté par l'agent utilisateur</a>.</p>
-
-<p>Le cookie suivant sera rejeté si le serveur est hébergé sur <code>originalcompany.com</code>:</p>
-
-<pre>Set-Cookie: qwerty=219ffwef9w0f; Domain=somecompany.co.uk</pre>
-
-<p>Un cookie pour un sous-domaine du domaine servi sera rejeté.</p>
-
-<p>Le cookie suivant sera rejeté si le serveur est hébergé sur <code>example.com</code>:</p>
+## Syntaxe
-<pre>Set-Cookie: sessionId=e8bb43229de9; Domain=foo.example.com</pre>
-
-<h3 id="cookie_prefixes">Préfixes de cookie</h3>
+ Set-Cookie: <cookie-name>=<cookie-value>
+ Set-Cookie: <cookie-name>=<cookie-value>; Expires=<date>
+ Set-Cookie: <cookie-name>=<cookie-value>; Max-Age=<non-zero-digit>
+ Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>
+ Set-Cookie: <cookie-name>=<cookie-value>; Path=<path-value>
+ Set-Cookie: <cookie-name>=<cookie-value>; Secure
+ Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly
-<p>Les cookies préfixés par <code>__Secure-</code> ou <code>__Host-</code> peuvent être utilisés seulement s'ils sont définis avec l'attribut <code>secure</code> depuis une origine sécurisée (HTTPS).</p>
-
-<p>De plus, les cookies avec le préfixe <code>__Host-</code> doivent avoir un <code>path</code> qui vaut <code>/</code> (donc tous les chemins de l'hôte) et ne doivent pas avoir d'attribut <code>Domain</code>.</p>
-
-<div class="warning">
- <p><strong>Attention :</strong> Pour les clients qui n'implémentent pas les préfixes de cookies, vous ne pouvez pas compter sur ces contraintes, les cookies avec un préfixe seront toujours acceptés.</p>
-</div>
-
-<pre>// Les deux sont acceptés s'ils viennent d'une origine sécurisée (HTTPS)
-Set-Cookie: __Secure-ID=123; Secure; Domain=example.com
-Set-Cookie: __Host-ID=123; Secure; Path=/
+ Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Strict
+ Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Lax
+ Set-Cookie: <cookie-name>=<cookie-value>; SameSite=None
-// Rejeté car l'attribut Secure est manquant
-Set-Cookie: __Secure-id=1
+ // L'usage d'attributs multiples est également possible, par exemple :
+ Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly
-// Rejeté car l'attribut Path=/ est manquant
-Set-Cookie: __Host-id=1; Secure
+## Attributs
-// Rejeté à cause du domaine qui est spécifié
-Set-Cookie: __Host-id=1; Secure; Path=/; domain=example.com</pre>
+- `<cookie-name>=<cookie-value>`
-<h2 id="specifications">Spécifications</h2>
+ - : Un cookie commence par une paire nom-valeur:
-<table class="standard-table">
- <thead>
- <tr>
- <th scope="col">Spécification</th>
- <th scope="col">Titre</th>
- </tr>
- </thead>
- <tbody>
- <tr>
- <td>{{RFC("6265", "Set-Cookie", "4.1")}}</td>
- <td>HTTP State Management Mechanism</td>
- </tr>
- <tr>
- <td><a href="https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-05">draft-ietf-httpbis-rfc6265bis-05</a></td>
- <td>Cookie Prefixes, Same-Site Cookies, and Strict Secure Cookies</td>
- </tr>
- </tbody>
-</table>
+ - Le nom porté par `<cookie-name>` peut-être composé de n'importe quels caractères ASCII, à l'exception des caractères de contrôle, d'espace, de tabulation et des caractères de séparation suivants : `( ) < > @ , ; : \ " / [ ] ? = { }`.
+ - La valeur, `<cookie-value>`, peut éventuellement être entourée de guillemets doubles et peut être composée de n'importe quel caractère ASCII à l'exception des caractères de contrôle, des blancs, des guillemets doubles, d'une virgule, d'un point-virgule ou d'une barre oblique inversée (_backslash_). **Encodage** : de nombreuses implémentations encodent les caractères d'URL (_URL-encoding_) bien que ce ne soit pas nécessaire selon la RFC. Une telle transformation facilite tout de même l'utilisation de caractères autorisés.
+ - Le préfixe **`__Secure-`** : les cookies commençant par `__Secure-` (le tiret fait partie du préfixe) doivent être définis avec le drapeau `secure` depuis une page sécurisée (HTTPS).
+ - Le préfixe **`__Host-`** : Les cookies commençant par `__Host-` doivent être définis avec le drapeau `secure`, depuis une page sécurisée (HTTPS), ne doivent pas avoir de domaine spécifié (et donc pas envoyé à un sous-domaine) et le chemin doit être `/`.
+
+- `Expires=<date>` {{optional_inline}}
+
+ - : Le temps de vie maximal d'un cookie sous la forme d'une date HTTP. Voir [`Date`](/fr/docs/Web/HTTP/Headers/Date) pour le format requis.
+
+ Si non spécifié, le cookie devient un **cookie de session**. Une session finit quand le client s'arrête, les cookies de sessions sont alors supprimés à ce moment.
+
+ > **Attention :** Plusieurs navigateurs ont un système de récupération de session qui enregistre les onglets et les restaure quand le navigateur redémarre. Les cookies de session seront aussi restaurés comme si le navigateur ne s'était jamais arrêté.
+
+ Quand une telle date de péremption est indiquée, elle est relative au _client_ et pas au serveur.
+
+- `Max-Age=<number> `{{optional_inline}}
+ - : Le nombre de secondes avant son expiration. Une valeur nulle ou négative fera expirer immédiatement le cookie. Si `Expires` et `Max-Age` sont configurés, `Max-Age` sera prioritaire.
+- `Domain=<domain-value>` {{optional_inline}}
+
+ - : Le domaine où le cookie sera envoyé.
+
+ - Si omis, la valeur par défaut sera l'hôte de l'URL du document courant. Les sous-domaines ne seront pas inclus.
+ - Contrairement aux anciennes spécifications, le point au début dans les noms de domaines (`.example.com`) est ignoré.
+ - Plusieurs valeurs de domaine ne sont pas permises. Si un nom de domaine est spécifié, les sous domaines sont toujours inclus.
+
+- `Path=<path-value>` {{optional_inline}}
+ - : Un chemin qui doit exister dans l'URL de la requête ou le navigateur n'enverra pas d'en-tête `Cookie` correspondante par la suite. La barre oblique (`/`) est interprétée comme un séparateur de répertoire. Les sous-répertoires sont inclus, par exemple: pour `Path=/docs` les répertoires `/docs`, `/docs/Web/` et `/docs/Web/HTTP` sont concernés.
+- `Secure` {{optional_inline}}
+
+ - : Un cookie sécurisé est envoyé uniquement si la requête est faite en `https:` (sauf pour _localhost_). Cependant des informations confidentielles ne devraient jamais être enregistrées dans un cookie classique, en effet le mécanique est non sécurisé et ne chiffre aucune information.
+
+ > **Note :** Les sites non sécurisés (`http:`) ne peuvent plus définir des cookies ``Secure désormais (depuis Chrome 52+ et Firefox 52+). Depuis Firefox 75, cette restriction ne s'applique pas pour _localhost_.
+
+- `HttpOnly` {{optional_inline}}
+ - : Empêche JavaScript d'accéder au cookie; par exemple, au travers de la propriété [`Document.cookie`](/fr/docs/Web/API/Document/cookie), de l'API [`XMLHttpRequest`](/fr/docs/Web/API/XMLHttpRequest) ou de l'API [`Request`](/fr/docs/Web/API/Request). Cela protège des attaques _cross-site scripting_ ([XSS](/fr/docs/Glossary/XSS)).
+- `SameSite=<samesite-value>` {{optional_inline}}
+
+ - : Contrôle si un cookie est envoyé avec les requêtes d'origine croisée, offrant ainsi une certaine protection contre les attaques de falsification de requêtes inter-sites ([CSRF](/fr/docs/Glossary/CSRF)).
+
+ > **Note :** Les normes relatives aux [Cookies SameSite](/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite) ont récemment changé de telle sorte que :
+ >
+ > 1. Le comportement d'envoi des cookies si `SameSite` n'est pas spécifié est `SameSite=Lax`. Auparavant, le comportement par défaut était que les cookies étaient envoyés pour toutes les requêtes.
+ > 2. Les cookies avec `SameSite=None` doivent désormais également spécifier l'attribut `Secure` (c'est-à-dire qu'ils nécessitent un contexte sécurisé).
+ >
+ > Les options ci-dessous couvrent le nouveau comportement. Voir le tableau [Compatibilité des navigateurs](/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite#browser_compatibility) pour des informations sur la mise en œuvre spécifique des navigateurs (lignes : « `SameSite` : Defaults to `Lax` » et « `SameSite` : Secure context required »).
+
+ Les options sont :
+
+ - `Strict` : le navigateur envoie le cookie uniquement pour les demandes provenant du même site (c'est-à-dire les demandes provenant du même site qui a défini le cookie). Si la demande provient d'une URL différente de l'URL actuelle, aucun cookie avec l'attribut `SameSite=Strict` n'est envoyé.
+ - `Lax` : Le cookie n'est pas envoyé sur les requêtes inter-sites, telles que les appels pour charger des images ou des _iframes_, mais il est envoyé lorsqu'un utilisateur navigue vers le site d'origine à partir d'un site externe (par exemple, s'il suit un lien). C'est le comportement par défaut si l'attribut `SameSite` n'est pas spécifié.
+ - `None` : Le navigateur envoie le cookie avec les requêtes inter-sites et les requêtes sur un même site. L'attribut `Secure` doit également être défini lorsque `SameSite=None` !
+
+## Exemples
+
+### Cookie de session
+
+**Les cookies de session** sont supprimés quand le client s'éteint. Les cookies sont des cookies de session s'ils n'ont pas de directive `Expires` ou `Max-Age`.
+
+ Set-Cookie: sessionId=38afes7a8
+
+### Cookie permanent
+
+Au lieu d'expirer lorsque le client est fermé, les **cookies permanents** expirent à une date spécifique (`Expires`) ou après une valeur de temps (`Max-Age`).
+
+ Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT
+
+<!---->
+
+ Set-Cookie: id=a3fWa; Max-Age=2592000
+
+### Domaines invalides
+
+Un cookie pour un domaine qui n'inclut pas le serveur qui le définit [doit être rejeté par l'agent utilisateur](https://tools.ietf.org/html/rfc6265#section-4.1.2.3).
+
+Le cookie suivant sera rejeté si le serveur est hébergé sur `originalcompany.com`:
+
+ Set-Cookie: qwerty=219ffwef9w0f; Domain=somecompany.co.uk
+
+Un cookie pour un sous-domaine du domaine servi sera rejeté.
+
+Le cookie suivant sera rejeté si le serveur est hébergé sur `example.com`:
+
+ Set-Cookie: sessionId=e8bb43229de9; Domain=foo.example.com
+
+### Préfixes de cookie
+
+Les cookies préfixés par `__Secure-` ou `__Host-` peuvent être utilisés seulement s'ils sont définis avec l'attribut `secure` depuis une origine sécurisée (HTTPS).
+
+De plus, les cookies avec le préfixe `__Host-` doivent avoir un `path` qui vaut `/` (donc tous les chemins de l'hôte) et ne doivent pas avoir d'attribut `Domain`.
+
+> **Attention :** Pour les clients qui n'implémentent pas les préfixes de cookies, vous ne pouvez pas compter sur ces contraintes, les cookies avec un préfixe seront toujours acceptés.
+
+ // Les deux sont acceptés s'ils viennent d'une origine sécurisée (HTTPS)
+ Set-Cookie: __Secure-ID=123; Secure; Domain=example.com
+ Set-Cookie: __Host-ID=123; Secure; Path=/
+
+ // Rejeté car l'attribut Secure est manquant
+ Set-Cookie: __Secure-id=1
+
+ // Rejeté car l'attribut Path=/ est manquant
+ Set-Cookie: __Host-id=1; Secure
+
+ // Rejeté à cause du domaine qui est spécifié
+ Set-Cookie: __Host-id=1; Secure; Path=/; domain=example.com
+
+## Spécifications
+
+| Spécification | Titre |
+| ------------------------------------------------------------------------------------------------ | ------------------------------------------------------------- |
+| {{RFC("6265", "Set-Cookie", "4.1")}} | HTTP State Management Mechanism |
+| [draft-ietf-httpbis-rfc6265bis-05](https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-05) | Cookie Prefixes, Same-Site Cookies, and Strict Secure Cookies |
-<h2 id="browser_compatibility">Compatibilité des navigateurs</h2>
+## Compatibilité des navigateurs
-<p>{{Compat("http.headers.Set-Cookie", 5)}}</p>
+{{Compat("http.headers.Set-Cookie", 5)}}
-<h2 id="compatibility_notes">Note de compatibilité</h2>
+## Note de compatibilité
-<ul>
- <li>À partir de Chrome 52 et Firefox 52, les sites non sécurisés (<code>http:</code>) ne peuvent plus définir des cookies avec la directive <code>Secure</code>.</li>
-</ul>
+- À partir de Chrome 52 et Firefox 52, les sites non sécurisés (`http:`) ne peuvent plus définir des cookies avec la directive `Secure`.
-<h2 id="see_also">Voir aussi</h2>
+## Voir aussi
-<ul>
- <li><a href="/fr/docs/Web/HTTP/Cookies">Cookies HTTP</a></li>
- <li><a href="/fr/docs/Web/HTTP/Headers/Cookie"><code>Cookie</code></a></li>
- <li><a href="/fr/docs/Web/API/Document/cookie"><code>Document.cookie</code></a></li>
- <li><a href="/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite">Cookies SameSite</a></li>
-</ul>
+- [Cookies HTTP](/fr/docs/Web/HTTP/Cookies)
+- [`Cookie`](/fr/docs/Web/HTTP/Headers/Cookie)
+- [`Document.cookie`](/fr/docs/Web/API/Document/cookie)
+- [Cookies SameSite](/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite)
diff --git a/files/fr/web/http/headers/set-cookie/samesite/index.md b/files/fr/web/http/headers/set-cookie/samesite/index.md
index 1daba82b19..bc08705b7c 100644
--- a/files/fr/web/http/headers/set-cookie/samesite/index.md
+++ b/files/fr/web/http/headers/set-cookie/samesite/index.md
@@ -8,110 +8,97 @@ tags:
- samesite
translation_of: Web/HTTP/Headers/Set-Cookie/SameSite
---
-<div>{{HTTPSidebar}}</div>
+{{HTTPSidebar}}
-<p>L'attribut <strong><code>SameSite</code></strong> de l'en-tête de réponse HTTP {{HTTPHeader("Set-Cookie")}} vous permet de déclarer si vos cookies doivent être restreints au site visité, à des tiers, ou à des sous-domaines du site actuel.</p>
+L'attribut **`SameSite`** de l'en-tête de réponse HTTP {{HTTPHeader("Set-Cookie")}} vous permet de déclarer si vos cookies doivent être restreints au site visité, à des tiers, ou à des sous-domaines du site actuel.
-<h2 id="Valeurs">Valeurs</h2>
+## Valeurs
-<p>L'attribut <code>SameSite</code> accepte trois valeurs possibles :</p>
+L'attribut `SameSite` accepte trois valeurs possibles :
-<h3 id="Lax"><code>Lax</code></h3>
+### `Lax`
-<p>Les cookies sont transférables depuis le site actuel vers des sites de niveaux inférieurs et seront envoyés lors de requêtes GET initialisées par des sites tiers. C'est la valeur par défaut des navigateurs les plus récents.</p>
+Les cookies sont transférables depuis le site actuel vers des sites de niveaux inférieurs et seront envoyés lors de requêtes GET initialisées par des sites tiers. C'est la valeur par défaut des navigateurs les plus récents.
-<h3 id="Strict"><code>Strict</code></h3>
+### `Strict`
-<p>Les cookies ne seront envoyés qu'avec les requêtes effectuées sur le domaine de même niveau, et ne seront pas envoyées sur les requêtes vers des sites tiers.</p>
+Les cookies ne seront envoyés qu'avec les requêtes effectuées sur le domaine de même niveau, et ne seront pas envoyées sur les requêtes vers des sites tiers.
-<h3 id="None"><code>None</code></h3>
+### `None`
-<p>Les cookies seront envoyés dans tous les contextes, rendant possibles les requêtes de type <em>cross-origin</em>.</p>
+Les cookies seront envoyés dans tous les contextes, rendant possibles les requêtes de type _cross-origin_.
-<p><code>None</code> était la valeur par défaut des navigateurs, mais les navigateurs les plus récents optent désormais pour la valeur <code>Lax</code> comme valeur par défaut pour une meilleure défense contre les attaques de type <em>cross-site request forgery</em> ({{Glossary("CSRF")}}).</p>
+`None` était la valeur par défaut des navigateurs, mais les navigateurs les plus récents optent désormais pour la valeur `Lax` comme valeur par défaut pour une meilleure défense contre les attaques de type _cross-site request forgery_ ({{Glossary("CSRF")}}).
-<p><code>None</code> requiert l'attribut <code>Secure</code> dans les dernières versions des navigateurs les plus récents. Voir plus bas pour plus d'informations.</p>
+`None` requiert l'attribut `Secure` dans les dernières versions des navigateurs les plus récents. Voir plus bas pour plus d'informations.
-<h2 id="Corriger_les_erreurs_les_plus_communes">Corriger les erreurs les plus communes</h2>
+## Corriger les erreurs les plus communes
-<h3 id="SameSiteNone_requiert_Secure"><code>SameSite=None</code> requiert <code>Secure</code></h3>
+### `SameSite=None` requiert `Secure`
-<p>Une alerte de ce type peut apparaître dans la console de votre navigateur :</p>
+Une alerte de ce type peut apparaître dans la console de votre navigateur :
-<blockquote>
-<p><em>Some cookies are misusing the “sameSite“ attribute, so it won’t work as expected.<br>
- Cookie “</em>myCookie<em>” rejected because it has the “sameSite=none” attribute but is missing the “secure” attribute.</em></p>
-</blockquote>
+> *Some cookies are misusing the “sameSite“ attribute, so it won’t work as expected.
+> Cookie “*myCookie*” rejected because it has the “sameSite=none” attribute but is missing the “secure” attribute.*
-<p>Cet alerte apparaît dans les cas où des cookies requièrent l'attribut <code>SameSite=None</code> et ne sont pas marqués <code>Secure</code>, étant donc refusés par le navigateur.</p>
+Cet alerte apparaît dans les cas où des cookies requièrent l'attribut `SameSite=None` et ne sont pas marqués `Secure`, étant donc refusés par le navigateur.
-<pre class="example-bad">Set-Cookie: flavor=choco; SameSite=None</pre>
+```plain example-bad
+Set-Cookie: flavor=choco; SameSite=None
+```
-<p>Pour corriger cette erreur, vous devez ajouter l'attribut <code>Secure</code> à vos cookies marqués avec l'attribut <code>SameSite=None</code>.</p>
+Pour corriger cette erreur, vous devez ajouter l'attribut `Secure` à vos cookies marqués avec l'attribut `SameSite=None`.
-<pre class="example-good">Set-Cookie: flavor=choco; SameSite=None; <strong>Secure</strong></pre>
+```plain example-good
+Set-Cookie: flavor=choco; SameSite=None; Secure
+```
-<p>Un cookie <code>Secure</code> ne sera envoyé au serveur que par le biais de requêtes utilisant le protocole HTTPS. Il est à noter que les sites non sécurisés (<code>http:</code>) ne peuvent pas être marqués <code>Secure</code>.</p>
+Un cookie `Secure` ne sera envoyé au serveur que par le biais de requêtes utilisant le protocole HTTPS. Il est à noter que les sites non sécurisés (`http:`) ne peuvent pas être marqués `Secure`.
-<h3 id="Les_cookies_sans_lattribut_SameSite_utilisent_SameSiteLax_par_défaut">Les cookies sans l'attribut <code>SameSite</code> utilisent <code>SameSite=Lax</code> par défaut</h3>
+### Les cookies sans l'attribut `SameSite` utilisent `SameSite=Lax` par défaut
-<p>Les dernières versions des navigateurs récents fournissent une valeur par défaut de <code>SameSite</code> plus sécurisée pour vos cookies, il se peut donc que le message suivant apparaisse dans la console de votre navigateur :</p>
+Les dernières versions des navigateurs récents fournissent une valeur par défaut de `SameSite` plus sécurisée pour vos cookies, il se peut donc que le message suivant apparaisse dans la console de votre navigateur :
-<blockquote>
-<p><em>Some cookies are misusing the “sameSite“ attribute, so it won’t work as expected.<br>
- Cookie “</em>myCookie<em>” has “sameSite” policy set to “lax” because it is missing a “sameSite” attribute, and “sameSite=lax” is the default value for this attribute.</em></p>
-</blockquote>
+> *Some cookies are misusing the “sameSite“ attribute, so it won’t work as expected.
+> Cookie “*myCookie*” has “sameSite” policy set to “lax” because it is missing a “sameSite” attribute, and “sameSite=lax” is the default value for this attribute.*
-<p>Cette alerte apparait car la stratégie de <code>SameSite</code> pour le cookie n'a pas été spécifiée explicitement :</p>
+Cette alerte apparait car la stratégie de `SameSite` pour le cookie n'a pas été spécifiée explicitement :
-<pre class="example-bad">Set-Cookie: flavor=choco</pre>
+```plain example-bad
+Set-Cookie: flavor=choco
+```
-<p>Même si vous pouvez compter sur la valeur par défaut <code>SameSite=Lax</code> des navigateurs récents, vous devriez tout de même spécifier la stratégie à appliquer pour ce cookie afin de communiquer clairement votre intention. Cela améliorera également l'expérience sur les autres navigateurs si ceux-ci n'utilisent pas encore la valeur par défaut <code>Lax</code>.</p>
+Même si vous pouvez compter sur la valeur par défaut `SameSite=Lax` des navigateurs récents, vous devriez tout de même spécifier la stratégie à appliquer pour ce cookie afin de communiquer clairement votre intention. Cela améliorera également l'expérience sur les autres navigateurs si ceux-ci n'utilisent pas encore la valeur par défaut `Lax`.
-<pre class="example-good">Set-Cookie: flavor=choco; <strong>SameSite=Lax</strong></pre>
+```plain example-good
+Set-Cookie: flavor=choco; SameSite=Lax
+```
-<h2 id="Exemples"><strong>Exemples</strong></h2>
+## **Exemples**
-<pre>RewriteEngine on
-RewriteBase "/"
-RewriteCond "%{HTTP_HOST}"   "^example\.org$" [NC]
-RewriteRule "^(.*)"          "https://www.example.org/index.html" [R=301,L,QSA]
-RewriteRule "^(.*)\.ht$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:01:https://www.example.org:30/:SameSite=None:Secure]
-RewriteRule "^(.*)\.htm$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:02:https://www.example.org:30/:SameSite=None:Secure]
-RewriteRule "^(.*)\.html$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:03:https://www.example.org:30/:SameSite=None:Secure]
-[...]
-RewriteRule "^admin/(.*)\.html$" "admin/index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:09:https://www.example.org:30/:SameSite=Strict:Secure]
-</pre>
+ RewriteEngine on
+ RewriteBase "/"
+ RewriteCond "%{HTTP_HOST}"   "^example\.org$" [NC]
+ RewriteRule "^(.*)"          "https://www.example.org/index.html" [R=301,L,QSA]
+ RewriteRule "^(.*)\.ht$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:01:https://www.example.org:30/:SameSite=None:Secure]
+ RewriteRule "^(.*)\.htm$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:02:https://www.example.org:30/:SameSite=None:Secure]
+ RewriteRule "^(.*)\.html$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:03:https://www.example.org:30/:SameSite=None:Secure]
+ [...]
+ RewriteRule "^admin/(.*)\.html$" "admin/index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:09:https://www.example.org:30/:SameSite=Strict:Secure]
-<h2 id="Spécifications">Spécifications</h2>
+## Spécifications
-<table class="standard-table">
- <thead>
- <tr>
- <th scope="col">Spécification</th>
- <th scope="col">Titre</th>
- </tr>
- </thead>
- <tbody>
- <tr>
- <td>{{RFC("6265", "Set-Cookie", "4.1")}}</td>
- <td>HTTP State Management Mechanism</td>
- </tr>
- <tr>
- <td><a href="https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-05">draft-ietf-httpbis-rfc6265bis-05</a></td>
- <td>Cookie Prefixes, Same-Site Cookies, and Strict Secure Cookies</td>
- </tr>
- </tbody>
-</table>
+| Spécification | Titre |
+| ------------------------------------------------------------------------------------------------ | ------------------------------------------------------------- |
+| {{RFC("6265", "Set-Cookie", "4.1")}} | HTTP State Management Mechanism |
+| [draft-ietf-httpbis-rfc6265bis-05](https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-05) | Cookie Prefixes, Same-Site Cookies, and Strict Secure Cookies |
-<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2>
+## Compatibilité des navigateurs
-<p>{{Compat("http.headers.Set-Cookie", 5)}}</p>
+{{Compat("http.headers.Set-Cookie", 5)}}
-<h2 id="Voir_aussi">Voir aussi</h2>
+## Voir aussi
-<ul>
- <li><a href="/fr/docs/Web/HTTP/Cookies">Les cookies HTTP</a></li>
- <li>{{HTTPHeader("Cookie")}}</li>
- <li>{{domxref("Document.cookie")}}</li>
-</ul>
+- [Les cookies HTTP](/fr/docs/Web/HTTP/Cookies)
+- {{HTTPHeader("Cookie")}}
+- {{domxref("Document.cookie")}}