Sichere Cookies für Vercel konfigurieren

Schritt-für-Schritt-Anleitung: Cookie-Attribute per Edge Middleware und Framework-Konfiguration absichern — Secure, HttpOnly und SameSite für alle Set-Cookie-Header.

Cookies prüfen Plattform entdecken
Vercel · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 29. März 2026

Sichere Cookies auf Vercel

Sichere Cookie-Konfiguration schützt Session-Daten vor Diebstahl und Manipulation. Die drei wichtigsten Attribute — Secure, HttpOnly und SameSite — verhindern Cookie-Übertragung über HTTP, JavaScript-Zugriff und Cross-Site-Request-Forgery. Cookies sind mit 15 von 166 Punkten ein relevanter Faktor im Wolf-Agents Web Security Check.

Auf Vercel setzen Sie Cookie-Attribute an zwei Stellen: In der Edge Middleware für eine globale Absicherung aller Set-Cookie-Header und direkt in der Framework-Konfiguration (z.B. Next.js cookies()-API) für anwendungsspezifische Cookies. Vercel setzt keine Cookie-Attribute automatisch.

Ausführliche Einführung in sichere Cookies

1 Schritt 1 von 3

Cookie-Attribute per Edge Middleware

Die Edge Middleware kann alle ausgehenden Set-Cookie-Header prüfen und fehlende Sicherheits-Attribute ergänzen. Das ist besonders nützlich, wenn Third-Party-Libraries Cookies ohne Secure-Flag setzen. Die Middleware läuft auf Vercels Edge Network bei jedem Request.

middleware.ts Edge 
// middleware.ts — Cookie-Attribute per Edge Middleware
import { NextResponse } from 'next/server';
import type { NextRequest } from 'next/server';

export function middleware(request: NextRequest) {
  const response = NextResponse.next();

  // Bestehende Set-Cookie-Header mit Sicherheits-Attributen versehen
  const cookies = response.headers.getSetCookie();
  cookies.forEach(cookie => {
    let secured = cookie;
    if (!cookie.includes('Secure'))
      secured += '; Secure';
    if (!cookie.includes('HttpOnly'))
      secured += '; HttpOnly';
    if (!cookie.includes('SameSite'))
      secured += '; SameSite=Lax';
    response.headers.append('Set-Cookie', secured);
  });

  return response;
}
Middleware vs. Framework

Die Middleware ergänzt fehlende Attribute — sie überschreibt keine vorhandenen. Setzen Sie Cookie-Attribute bevorzugt direkt in der Framework-API (Schritt 2). Die Middleware dient als Sicherheitsnetz für vergessene Attribute.

2 Schritt 2 von 3

Framework-Cookie-Konfiguration

Setzen Sie Sicherheits-Attribute direkt beim Erstellen von Cookies in Ihrer Anwendung. In Next.js nutzen Sie die cookies()-API aus next/headers. Jeder Cookie sollte httpOnly, secure und sameSite explizit setzen — verlassen Sie sich nicht auf Defaults.

app/api/login/route.ts Next.js 
// app/api/login/route.ts — Sichere Cookies in API Routes
import { NextResponse } from 'next/server';
import { cookies } from 'next/headers';

export async function POST(request: Request) {
  const cookieStore = await cookies();
  cookieStore.set('session', token, {
    httpOnly: true,
    secure: true,
    sameSite: 'lax',
    maxAge: 60 * 60 * 24 * 7,  // 7 Tage
    path: '/',
  });
  return NextResponse.json({ success: true });
}
Verwenden Sie niemals SameSite=None ohne konkreten Grund. SameSite=None erfordert zwingend das Secure-Attribut und erlaubt Cross-Site-Cookie-Übertragung — das öffnet Angriffsvektoren für CSRF.
3 Schritt 3 von 3

Cookie-Header verifizieren

Prüfen Sie alle Set-Cookie-Header Ihrer Vercel-Anwendung. Jeder Cookie muss die drei Kern-Attribute tragen. Der Wolf-Agents Web Security Check analysiert alle Cookies automatisch und zeigt fehlende Attribute in der Detail-Ansicht.

Terminal Verifizieren 
# Cookie-Header nach Deployment prüfen
curl -sI https://ihre-domain.de/api/login -X POST | grep -i set-cookie

# Erwartete Ausgabe:
set-cookie: session=...; Path=/; HttpOnly; Secure; SameSite=Lax; Max-Age=604800

Häufige Fehler

vercel.json kann keine Cookies setzen

Das headers-Array in vercel.json setzt Response-Header, aber keine Cookie-Attribute. Cookie-Sicherheit muss in der Anwendung oder Edge Middleware konfiguriert werden.

Edge Middleware und API Route Kollision

Wenn API Routes und Middleware beide Cookies setzen, können doppelte Set-Cookie-Header entstehen. Prüfen Sie mit dem matcher-Pattern, ob die Middleware auf API Routes angewendet wird.

Preview Deployments und Cookie-Domain

Cookies mit expliziter Domain-Angabe funktionieren nicht auf Preview Deployments (*.vercel.app). Setzen Sie keine Domain-Attribute oder verwenden Sie Umgebungsvariablen.

Third-Party-Auth-Libraries

Libraries wie NextAuth oder Supabase setzen eigene Cookies. Prüfen Sie deren Default-Konfiguration — nicht alle Libraries setzen Secure und HttpOnly standardmäßig.

Compliance-Relevanz

Sichere Cookie-Konfiguration ist eine Grundanforderung aller relevanten Standards. DSGVO fordert technische Maßnahmen zum Schutz personenbezogener Daten — Session-Cookies ohne HttpOnly ermöglichen Datendiebstahl per XSS. PCI DSS verlangt verschlüsselte Übertragung — Cookies ohne Secure-Flag werden über HTTP gesendet. Der Wolf-Agents Web Security Check prüft alle Cookie-Attribute automatisch.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring BootNuxtLiteSpeedAWS CloudFront

Wie steht Ihre Domain bei Sichere Cookies?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo