Pliki cookies – czym są i jak działają w przeglądarce

Growth HubGrowth Hub
06/03/2026
Przeczytasz w 5 min

Pliki cookies to małe pliki tekstowe zapisywane przez przeglądarkę internetową na urządzeniu użytkownika. Służą do przechowywania informacji, takich jak preferencje czy stan sesji, co umożliwia personalizację treści i monitorowanie sesji. Ich działanie jest regulowane przez atrybuty, które określają sposób ich zapisu i wysyłania.

Czym są pliki cookies i dlaczego powstały

Pliki cookies to niewielkie pliki tekstowe zapisywane na urządzeniu użytkownika przez przeglądarkę internetową. Spotyka się też nazwę „HTTP cookies”, która wprost wskazuje na ich związek z protokołem HTTP. Powstały po to, by rozwiązać jego podstawowy problem – brak mechanizmu stanu w komunikacji, która z założenia jest bezstanowa.

Dzięki cookies serwer może „pamiętać” użytkownika między kolejnymi żądaniami, co pozwala na:

  • personalizowanie treści wyświetlanych na stronie,
  • monitorowanie przebiegu sesji,
  • zapamiętywanie historii przeglądania.

Mechanizm ten opracował około 1994 roku Lou Montulli z Netscape Communications. Z czasem cookies zaczęto wykorzystywać szerzej, niż pierwotnie zakładano, co doprowadziło do licznych nadużyć związanych z prywatnością użytkowników.

Standardy regulujące ich działanie pojawiły się kilka lat później:

  • RFC 2109 z 1997 roku – opracowany przy współpracy Davida M. Kristola,
  • RFC 6265 z 2011 roku – opublikowany przez Internet Engineering Task Force – IETF.

To właśnie te dokumenty ujednoliciły sposób działania cookies i określiły ramy, w jakich mogą być wykorzystywane w sieci.

Przebieg zapisu i wysyłania pliku cookie wygląda następująco:

  1. Serwer internetowy lub skrypt po stronie serwera inicjuje zapisanie pliku cookie.
  2. Serwer wysyła do przeglądarki polecenie ‘Set-Cookie’ w nagłówku odpowiedzi HTTP.
  3. Nagłówek ‘Set-Cookie’ zawiera dane cookie oraz atrybuty konfiguracyjne.
  4. Przeglądarka internetowa odbiera polecenie i zapisuje plik cookie w lokalnym magazynie na urządzeniu użytkownika.
  5. Firefox i Chrome przechowują pliki cookie w bazie danych SQLite, a Internet Explorer w zbiorczym pliku.
  6. Przy kolejnych żądaniach do tej samej domeny przeglądarka automatycznie dołącza odpowiednie pliki cookie w nagłówku żądania HTTP ‘Cookie’.
  7. Dostęp do plików cookie jest możliwy również przez JavaScript po stronie klienta za pomocą ‘document.cookie’, o ile nie jest zablokowany atrybutem ‘HttpOnly’.

Atrybuty przekazywane w nagłówku ‘Set-Cookie’ określają, jak przeglądarka ma traktować dany plik, są to m.in.:

  • domain – wskazuje domenę, dla której plik cookie jest ważny,
  • path – określa ścieżkę w obrębie domeny,
  • expires – ustala datę wygaśnięcia pliku,
  • Max-Age – definiuje czas życia cookie w sekundach,
  • HttpOnly – blokuje dostęp do cookie z poziomu JavaScript,
  • Secure – pozwala przesyłać cookie wyłącznie przez połączenie HTTPS,
  • SameSite – reguluje zasady wysyłania cookie przy żądaniach cross-site.

To właśnie kombinacja tych ustawień decyduje o tym, jak długo plik pozostanie na urządzeniu, kiedy zostanie przesłany do serwera i czy będzie dostępny dla skryptów działających w przeglądarce.

Cookies sesyjne a trwałe – różnice

Ze względu na czas przechowywania pliki cookie dzielą się na dwa typy:

  • pliki cookie sesyjne – działają wyłącznie w trakcie aktywnej sesji przeglądarki i znikają po jej zamknięciu,
  • pliki cookie trwałe – pozostają na urządzeniu użytkownika przez określony czas zapisany w atrybutach expires lub Max-Age,

Pliki cookie sesyjne nie mają ustawionej daty wygaśnięcia, dlatego przeglądarka usuwa je automatycznie po zakończeniu sesji. Najczęściej odpowiadają za bieżące działanie serwisu:

  • utrzymywanie statusu zalogowania,
  • zapamiętywanie zawartości koszyka zakupowego,
  • podtrzymywanie stanu sesji między kolejnymi żądaniami.

Pliki cookie trwałe działają inaczej. Mogą przetrwać restart przeglądarki i przechowywać dane przez czas wskazany w parametrach.

Podział cookies można przeprowadzić także według domeny, która je ustawia. Wtedy mówimy o plikach własnych – first-party – oraz o plikach pochodzących od innych firm, czyli third-party. Różnica nie jest czysto techniczna. Przekłada się wprost na sposób działania i zakres ingerencji w prywatność.

Własne pliki cookie są tworzone i zapisywane przez witrynę, którą użytkownik faktycznie odwiedza. Odpowiadają za codzienne, podstawowe funkcje serwisu:

  • utrzymywanie sesji logowania,
  • zapamiętywanie zawartości koszyka,
  • zachowanie preferencji językowych.

Ich rola jest użytkowa i ograniczona do jednej domeny, dlatego mają mniejszy wpływ na prywatność. Nie służą do śledzenia aktywności między różnymi stronami, lecz do sprawnego działania konkretnego serwisu.

Inaczej działają pliki cookie innych firm. Pochodzą z zewnętrznych domen, których elementy zostały osadzone na stronie, na przykład w postaci reklam czy widżetów mediów społecznościowych. W praktyce umożliwiają:

  • śledzenie użytkowników pomiędzy różnymi witrynami,
  • analizę zachowań i budowanie profili behawioralnych,
  • prowadzenie działań marketingowych, takich jak remarketing.

Tego rodzaju mechanizmy wyraźniej ingerują w prywatność, bo pozwalają łączyć dane z wielu miejsc w sieci. Dlatego przeglądarki umożliwiają blokowanie plików cookie innych firm w ustawieniach – to jedno z podstawowych narzędzi ochrony prywatności użytkownika.

Bezpieczeństwo cookies i regulacje prawne w UE

Im szerzej zaczęto wykorzystywać cookies, tym większe stało się ryzyko nadużyć – od nieuprawnionego śledzenia po próby przechwytywania danych. Odpowiedzią są mechanizmy, które ograniczają pole manewru atakującym i utrudniają dostęp do zapisanych informacji.

Atrybuty zwiększające bezpieczeństwo plików cookie obejmują:

  • HttpOnly – blokuje dostęp do pliku cookie z poziomu JavaScript i chroni przed atakami XSS,
  • Secure – pozwala przesyłać plik cookie wyłącznie przez szyfrowane połączenie HTTPS, co zmniejsza ryzyko podsłuchu,
  • SameSite – ogranicza wysyłanie pliku cookie przy żądaniach cross-site i zabezpiecza przed atakami CSRF.

Równolegle do zabezpieczeń technicznych funkcjonują przepisy, które wyznaczają granice dopuszczalnego użycia cookies w Unii Europejskiej. Dwa akty prawne mają tu podstawowe znaczenie – Dyrektywa ePrivacy (2002/58/WE) oraz RODO. Pierwsza z nich wymaga uzyskania zgody użytkownika przed zapisaniem plików cookie na jego urządzeniu, druga znajduje zastosowanie wtedy, gdy za pomocą cookies przetwarzane są dane osobowe, nakładając m.in. zasadę minimalizacji danych.

Obowiązki po stronie właścicieli stron internetowych obejmują:

  • uzyskanie zgody użytkownika przed zapisaniem plików cookie na jego urządzeniu (zgodnie z Dyrektywą ePrivacy),
  • jasne poinformowanie o celach użycia cookies przed wyrażeniem zgody – najczęściej za pomocą banerów,
  • przestrzeganie zasad RODO, gdy pliki cookie wiążą się z przetwarzaniem danych osobowych,
  • stosowanie przepisów krajowych – w Polsce art. 173 Prawa Telekomunikacyjnego,
  • liczenie się z wysokimi karami finansowymi w przypadku naruszeń.

System ten wciąż ewoluuje. W 2023 roku Komisja Europejska zaproponowała tzw. pakiet omnibus cyfrowy, który ma uprościć regulacje, między innymi przez umożliwienie ustawiania preferencji dotyczących cookies na poziomie przeglądarki. To sygnał, że równowaga między wygodą użytkownika a ochroną jego prywatności nadal pozostaje przedmiotem debaty.

Growth Hub
Growth Hub

Growth w praktyce zaczyna się od jednego kliknięcia

Porozmawiajmy

Oni już nam zaufali – teraz kolej na Ciebie

moderno-meble