¿Puedo editar cookies HttpOnly en Chrome?

Sí, pero no mediante JavaScript. La marca HttpOnly impide que `document.cookie` acceda a la cookie, pero las DevTools de Chrome y las extensiones Manifest V3 que usan la API `chrome.cookies` pueden leer y modificar cookies HttpOnly. En las DevTools, la columna HttpOnly muestra una marca de verificación —aún así puedes hacer doble clic en la celda Value para editarla.

¿Editar el valor de una cookie surte efecto de inmediato?

El almacén de cookies se actualiza al instante cuando pulsas Enter en las DevTools. Sin embargo, el sitio solo recibe el nuevo valor en la siguiente petición HTTP —así que normalmente necesitas recargar la página (F5) o navegar a una página nueva para que el servidor procese la cookie actualizada.

¿Puedo cambiar la expiración de una cookie para que dure más?

Sí. Haz doble clic en la celda Expires/Max-Age en las DevTools y establece una fecha futura. Esto convierte una cookie de sesión en una cookie persistente (o extiende una cookie ya persistente). Esto es útil para probar la funcionalidad de "recordarme" o evitar que una sesión expire durante una sesión larga de depuración.

¿Qué pasa si cambio el atributo SameSite de una cookie?

Cambiar SameSite de "Strict" a "None" (con la marca Secure también activada) permite que la cookie se envíe en peticiones entre sitios. Cambiar de "None" a "Strict" lo impide. Es una técnica común de depuración para reproducir errores de autenticación entre orígenes o para probar el comportamiento de la protección CSRF.

¿Puedo editar cookies de un dominio que no estoy visitando actualmente?

En las DevTools, solo puedes ver y editar cookies de dominios que hayan establecido cookies en la página actual. Para editar cookies de un dominio no relacionado, navega primero a ese dominio. Una extensión Manifest V3 como CookieVault Editor puede acceder a cookies de cualquier dominio mediante la API `chrome.cookies` sin necesidad de navegar hasta él.

¿Hay alguna forma de editar cookies sin abrir las DevTools?

Sí —instala una extensión editor de cookies Manifest V3. CookieVault Editor muestra un popup cuando haces clic en el icono de la barra de herramientas, listando todas las cookies del sitio actual. Haz clic en cualquier cookie para editar en línea su valor, expiración, SameSite, Secure, HttpOnly, Domain y Path. Los cambios se aplican de inmediato sin necesidad de DevTools.

¿Puedo deshacer una edición de cookie en Chrome?

Las DevTools de Chrome no tienen función de deshacer para ediciones de cookies. Una vez que pulsas Enter, el valor antiguo se pierde. Para protegerte contra esto, exporta tus cookies a JSON antes de editar —la función de exportación de CookieVault Editor te da una vía de reversión. Reimporta el archivo JSON para restaurar los valores originales.

¿Funciona la edición de cookies en el modo incógnito de Chrome?

Sí. Las DevTools funcionan igual en incógnito. Las cookies que editas en incógnito son efímeras —desaparecen cuando cierras la última ventana de incógnito. Esto convierte a incógnito en un sandbox seguro para experimentos de edición de cookies. Ten en cuenta que las extensiones deben estar explícitamente habilitadas para el modo incógnito en los ajustes de extensiones de Chrome.

Cómo editar cookies en Chrome

TL;DR: Para editar cookies en Chrome, abre las DevTools (F12) → Application → Cookies, luego haz doble clic en cualquier celda para cambiar valor, expiración, SameSite, HttpOnly o las marcas Secure. Para un flujo más rápido sin DevTools, instala CookieVault Editor y edita las cookies en línea desde el popup de la barra de herramientas. Ambos métodos modifican el almacén de cookies de inmediato.

Editar cookies en Chrome es una operación del navegador que te permite modificar el valor, la expiración, el dominio, la ruta y las marcas de seguridad de cualquier cookie almacenada para un sitio dado. Los casos de uso principales son depurar errores de sesión, probar el comportamiento por marca (SameSite, Secure, HttpOnly), reproducir problemas reportados por usuarios y ampliar la vida útil de la sesión durante el desarrollo. Chrome proporciona dos métodos fiables —el panel Application integrado de las DevTools y una extensión Manifest V3— cada uno adecuado a flujos distintos¹.

Comparativa rápida: DevTools vs extensión

En resumen: Las DevTools vienen integradas y no requieren instalación pero exigen varios clics por edición. Una extensión ofrece un flujo más rápido y repetible desde la barra de herramientas —especialmente al editar cookies en varios dominios o realizar el mismo cambio repetidamente.

Capacidad	DevTools (integrado)	CookieVault Editor (extensión)
Editar valor de la cookie	Sí —doble clic en la celda	Sí —campo en línea
Editar expiración / Max-Age	Sí —doble clic en la celda	Sí —selector de fecha
Editar SameSite / Secure / HttpOnly	Sí —doble clic en la celda	Sí —interruptores
Editar cookies de otros dominios	Solo si ese dominio estableció una cookie en la página actual	Sí —cualquier dominio vía API `chrome.cookies`
Crear una cookie nueva	Sí —clic en fila vacía al final	Sí —botón “Add cookie”
Exportar antes de editar (backup)	No	Sí —JSON / Netscape / HAR
Edición por lotes de varias cookies	No	Sí —multi-selección + edición masiva
Funciona en incógnito	Sí	Sí (si está habilitado para incógnito)

La documentación del panel Application de las DevTools de Chrome describe la tabla de cookies como “una hoja de cálculo editable” para inspeccionar y modificar cookies durante el desarrollo¹. Para depuración en producción y flujos de QA que implican ediciones repetidas, una extensión reduce el número de pasos por edición de seis a dos.

Método 1: DevTools de Chrome (la vía integrada)

En resumen: Las DevTools te dan acceso directo a cada atributo de cookie en formato tabla. Doble clic en cualquier celda para editar. El cambio se aplica al almacén de cookies de inmediato —recarga la página para ver el efecto del lado del servidor. Ocho pasos desde abrir DevTools hasta verificar la edición.

El flujo de edición de cookies con DevTools en ocho pasos:

Abre el sitio web objetivo —navega al sitio cuyas cookies quieras editar. Las cookies deben existir ya en el almacén del navegador para ese dominio.
Abre las DevTools de Chrome —pulsa F12 (o Ctrl+Shift+I en Windows/Linux, Cmd+Option+I en Mac). También puedes hacer clic derecho en cualquier parte de la página y elegir “Inspeccionar”.
Navega a la pestaña Application —haz clic en “Application” en la barra superior de las DevTools. Si la pestaña no está visible, haz clic en el chevron (>>) para expandir el menú de desbordamiento.
Expande Cookies en la barra lateral izquierda —bajo “Storage”, expande “Cookies”. Verás el dominio principal más cualquier dominio de terceros que haya establecido cookies en esta página.
Haz clic en el dominio objetivo —el panel principal muestra una tabla con Name, Value, Domain, Path, Expires, Size, HttpOnly, Secure, SameSite y Priority.
Doble clic en cualquier celda para editar —la celda se convierte en un campo de entrada. Cambia el valor y pulsa Enter. Los campos editables incluyen Value, Expires/Max-Age, Domain, Path, SameSite, Secure y HttpOnly.
Pulsa Enter para confirmar —el almacén de cookies se actualiza de inmediato. Sin diálogo de confirmación; sin deshacer.
Recarga la página para verificar —pulsa F5. El sitio ahora recibe la cookie modificada en la siguiente petición. Confirma el comportamiento esperado.

Importante: Editar el campo Name no renombra la cookie —elimina la cookie antigua y crea una nueva con el nombre nuevo. Si solo quieres cambiar el valor, deja el campo Name intacto.

Método 2: CookieVault Editor (extensión)

En resumen: CookieVault Editor ofrece un popup en la barra de herramientas con edición en línea —haz clic en una cookie, cambia un campo, haz clic en Guardar. Sin DevTools. La extensión usa la API chrome.cookies de Chrome, lo que significa que puede editar cookies HttpOnly y acceder a cookies de cualquier dominio, no solo de la página actual.

El flujo de la extensión en ocho pasos:

Instala CookieVault Editor —instala desde la Chrome Web Store. La extensión solicita los permisos cookies y tabs necesarios para leer y escribir cookies.
Navega al sitio objetivo —abre el sitio cuyas cookies quieras editar.
Haz clic en el icono de la barra de herramientas —el popup lista todas las cookies del dominio actual, agrupadas por primera parte y terceros.
Haz clic en el nombre de una cookie —se abre la vista de detalle, mostrando Value, Domain, Path, Expires, SameSite, Secure, HttpOnly y Size.
Edita los campos —cambia cualquier campo en línea. SameSite, Secure y HttpOnly son interruptores. Expires tiene un selector de fecha. Value es una entrada de texto.
Haz clic en Guardar —la extensión escribe la cookie actualizada mediante chrome.cookies.set(). El cambio se aplica de inmediato.
Verifica —recarga la página u observa el panel Network para confirmar que la cookie modificada se envía con la siguiente petición.
Opcional: exporta antes de editar —para sesiones irreversibles (banca, paneles de administración), exporta a JSON primero. Si la edición rompe tu sesión, importa la copia de seguridad para restaurar.

El flujo de la extensión es particularmente eficiente para ingenieros de QA que necesitan editar cookies en docenas de dominios de prueba al día, o para desarrolladores que prueban el comportamiento de SameSite entre múltiples orígenes.

Escenarios habituales de edición de cookies

En resumen: Las razones más frecuentes para editar una cookie son extender una sesión, probar el comportamiento SameSite, simular un usuario distinto y depurar discrepancias de token CSRF. Cada escenario corresponde a la edición de un campo específico.

Seis escenarios prácticos en los que editar cookies es la técnica de depuración correcta:

Extender una sesión durante la depuración —haz doble clic en la celda Expires y establece una fecha muy en el futuro (por ejemplo, dentro de un año). Esto evita que la sesión expire mientras recorres el código. Útil al depurar formularios largos de múltiples pasos.
Probar el comportamiento SameSite —cambia SameSite de Lax a Strict para verificar que la navegación entre sitios rompe la autenticación como se esperaba. Cambia a None (con Secure = true) para confirmar que la incrustación de iframes entre orígenes funciona.
Simular un usuario distinto —copia un valor de cookie de sesión de un perfil de navegador y pégalo en otro. Esto reproduce el estado exacto de la sesión sin volver a autenticarte. Solo funciona si el servidor no vincula las sesiones a la IP o al User-Agent.
Depurar discrepancias de token CSRF —los tokens CSRF a menudo se almacenan en cookies (csrftoken, XSRF-TOKEN). Editar el valor de la cookie a un valor mal conocido confirma que el servidor rechaza la petición, validando la protección CSRF.
Forzar una cookie a Secure-only —activa la marca Secure en una cookie y verifica que el sitio se rompe al cargarse por HTTP. Esto confirma que el sitio maneja correctamente la marca Secure en escenarios de contenido mixto.
Probar el alcance de la ruta de la cookie —cambia Path de / a /admin y verifica que la cookie ya no se envía en peticiones a /dashboard. Esto valida el comportamiento de cookies con alcance por ruta.

Referencia de atributos editables de cookies

En resumen: Chrome expone ocho atributos editables por cookie. Cada atributo controla un aspecto distinto de cuándo, dónde y cómo se envía la cookie. Comprenderlos es esencial para depurar de forma eficaz.

Atributo	Qué controla	Ejemplo de edición
Value	La carga de datos enviada al servidor	Cambiar un ID de sesión para probar fijación de sesión
Domain	Qué dominios reciben la cookie	Cambiar `.example.com` a `app.example.com` para restringir alcance
Path	Qué rutas URL reciben la cookie	Cambiar `/` a `/api` para limitar la transmisión
Expires / Max-Age	Cuándo elimina el navegador la cookie	Extender para probar sesiones de larga duración
Secure	La cookie solo se envía por HTTPS	Activar para probar el comportamiento de contenido mixto
HttpOnly	La cookie es inaccesible para `document.cookie`	Activar para probar escenarios de robo de cookie por XSS
SameSite	Reglas de envío entre sitios (Strict / Lax / None)	Cambiar para probar CSRF e incrustación en iframe
Priority	Orden de desalojo cuando se alcanza el límite	Cambiar a Low para probar qué cookies descarta Chrome primero

El proyecto Chromium aplica un límite de aproximadamente 180 cookies por dominio. Cuando se alcanza este límite, Chrome desaloja cookies en orden de Priority (primero Low, luego Medium, luego High), y dentro de cada nivel de prioridad por marca de tiempo de “acceso menos reciente”².

Limitaciones y casos límite

En resumen: Algunas ediciones de cookies están restringidas por las políticas de seguridad del navegador. Comprender estos límites evita perder tiempo depurando.

Cookies entre orígenes —no puedes editar cookies de un dominio que no haya establecido una cookie en la página actual (en DevTools). Usa una extensión para acceso entre dominios.
Cookies particionadas (CHIPS) —la función de cookies particionadas de Chrome significa que el mismo nombre de cookie puede tener valores distintos según el sitio de nivel superior. Editar una partición no afecta a las otras.
Validación del lado del servidor —cambiar el valor de una cookie de sesión a una cadena arbitraria fallará la validación del lado del servidor. El servidor trata el valor modificado como una sesión inválida y emite una cookie nueva en la siguiente respuesta.
Límites de tamaño de cookie —una sola cookie no puede exceder aproximadamente 4096 bytes (nombre + valor combinados). Las DevTools truncan silenciosamente los valores que superan este límite.
Prefijos __Host- y __Secure- —las cookies con estos prefijos de nombre están sujetas a restricciones adicionales. Una cookie con prefijo __Host- debe tener Secure = true, Path = / y ningún atributo Domain. Editar estos atributos violando las reglas del prefijo hace que Chrome rechace la cookie.
Obsolescencia de cookies de terceros —a medida que Chrome retira las cookies de terceros, editar cookies de terceros en DevTools puede mostrar advertencias o no tener efecto en sitios inscritos en el Privacy Sandbox.

Véase también

Cómo eliminar cookies en Chrome —quita cookies por completo en lugar de editarlas
Cómo exportar cookies de Chrome a JSON —copia de seguridad de cookies antes de editar como vía de reversión
Borrar cookies pero mantener la sesión iniciada —eliminación selectiva conservando las sesiones
Borrar cookies automáticamente al cerrar pestaña —limpieza automatizada para privacidad
CookieVault Editor —el editor de cookies Manifest V3 de código abierto para Chrome
¿Qué es una cookie? —el protocolo HTTP de cookies subyacente explicado

La documentación oficial de las DevTools de Chrome para inspección, edición y eliminación de cookies está en https://developer.chrome.com/docs/devtools/storage/cookies. La tabla de cookies del panel Application soporta la edición en línea de todos los atributos estándar de cookies. ↩ ↩²
Los límites de almacenamiento de cookies de Chromium y el comportamiento de desalojo están documentados en el código fuente de Chromium y discutidos en las entradas de Chrome Platform Status para funciones relacionadas con cookies. El límite aproximado de 180 cookies por dominio y el orden de desalojo basado en prioridad son detalles de implementación que se han mantenido estables entre versiones de Chrome. ↩