Listet document.cookie jedes Cookie auf?

Nein. HttpOnly-Cookies bleiben aus Sicht von JavaScript serverseitig. Entwickler sehen nur die Cookies, die absichtlich per Skript ausgelesen werden können und für den effektiven Pfad sowie die SameSite-Regeln des aktuellen Browsing-Kontexts gelten.

Was beweist ein First-Party-Cookie-Test?

Er beweist, dass dieser Origin ein kurzlebiges Lax-Cookie setzen, lesen und löschen kann — eine praktische Voraussetzung für Login-Prozesse, Warenkörbe und Messungen. Es beweist nicht, dass Drittanbieter-Werbetreibende Sie weiterhin seitenübergreifend tracken können.

Warum könnte localStorage fehlschlagen, Cookies aber funktionieren?

Der private Modus, IT-Richtlinien oder die Partitionierung können einen SecurityError bei Speicher-APIs auslösen, während sie gleichzeitig begrenzte Cookies erlauben. Behandeln Sie jede API als unabhängige Schnittstelle beim Debuggen fehlerhafter SPAs.

Ist Global Privacy Control rechtlich bindend?

GPC übermittelt eine Opt-out-Präferenz, wo Gesetze und Rechtsprechung automatisierte Signale anerkennen. Die operative Einhaltung hängt nach wie vor von der jeweiligen Gerichtsbarkeit, Verträgen und der Interpretation des Publishers ab — nicht von einem einfachen Boolean in JavaScript.

10. Juni 2026 · 7 Min. Lesezeit

Cookie- & Tracking-Status-Prüfer — Was Ihr Browser offenlegt (2026)

Verstehen Sie First-Party-Cookie-Tests, HttpOnly-blinde Flecken, Ausfälle des Webspeichers, Global Privacy Control und warum Sandboxed-Seiten nicht jeden Tracker prüfen können.

Eine moderne „Cookie-Prüfung“ ist kein vages Umschalten in den Einstellungen — sie ist ein geschichtetes Zusammenspiel aus synchronen Cookies, DOM-Speicher, strukturierten Datenbanken, Quotas und ausgehenden Datenschutzsignalen. Verbraucher wollen wissen, ob das Tracking „aus“ ist, aber Entwickler benötigen präzise Antworten: Hat der Browser bei localStorage.setItem einen Fehler gewehrt? Stimmt navigator.cookieEnabled nicht mit dem Schreibtest überein? Signalisiert Global Privacy Control ein Opt-out?

Dieser Artikel erklärt, was eine verantwortungsvolle In-Browser-Diagnose im Jahr 2026 aufzeigen kann, was sie nicht behaupten darf und wie Sie unser Tool Cookie- / Tracking-Status mit angrenzenden Prüfungen (Browser-Sniffing, UA-Überprüfung, DNS-Kontext) kombinieren können, wenn Support-Anfragen eskalieren.

Was kann JavaScript legal über Cookies „sehen“?

document.cookie gibt eine durch Semikolon getrennte Liste von Name=Wert-Paaren zurück, die das aktuelle Dokument lesen darf. Sofort ausgeschlossen sind HttpOnly-Flags, Secure-Cookies auf falschen Protokollen, Cookies von anderen Origins und partitionierte Drittanbieter-Cookies, die in separaten Speicher-Buckets liegen. Safaris Intelligent Tracking Prevention (ITP), Chromes Zeitplan zur Abschaffung von Drittanbieter-Cookies und Firefox' Enhanced Tracking Protection beeinflussen alle, welche Cookies nach Navigationsereignissen sichtbar sind.

Bereich	Über Skript beobachtbar?	Typisches Fehlermuster
Same-Site `SameSite=Lax` Sitzung	Ja (wenn nicht HttpOnly)	Blocker-Erweiterungen, Unternehmensrichtlinien
Authentifizierungs-Refresh-Token (HttpOnly)	Nein — beabsichtigt	Reduzierung des XSS-Schadensradius
Eingebettetes Zahlungs-Iframe-Cookie	Eventuell nach Storage-Access-Aufforderungen	Benutzerinteraktion + seitenübergreifende Regeln
Werbe-Tag in Drittanbieter-Iframe	Erfordert Partner-Frame + Richtlinien	Partitionierter Speicher, blockierte Drittanbieter

Wie sich der First-Party-Test verhält

Die Diagnose generiert ein zufälliges Token, schreibt path=/ mit SameSite=Lax, verifiziert, dass document.cookie das Token enthält, und setzt dann Max-Age auf Null. Wenn ein Schritt fehlschlägt — was bei gehärteten Browserprofilen häufig vorkommt —, markiert die Benutzeroberfläche ein striktes Blockieren, damit die Qualitätssicherung Erweiterungskonflikte korrelieren kann, ohne davon auszugehen, dass navigator.cookieEnabled verbindlich ist.

document.cookie = `${token}=1; path=/; SameSite=Lax; Max-Age=60`;
const ok = document.cookie.split(";").some((pair) => pair.trim().startsWith(`${token}=`));
document.cookie = `${token}=; path=/; SameSite=Lax; Max-Age=0`;

Vergleichen Sie dies mit Privacy Washing: Eine Website, die behauptet, „wir verwenden nur notwendige Cookies“, aber gleichzeitig zwanzig Werbepixel von Drittanbietern lädt, fällt bei einer Richtlinienprüfung immer noch durch, selbst wenn das obige Code-Snippet erfolgreich ausgeführt wird.

Webspeicher ist kein Klon von Cookies

localStorage und sessionStorage werfen Fehler, wenn Datenschutzmodi die Persistenz einschränken, wenn das Kontingent (Quota) überschritten ist oder wenn der Speicherzugriff für Iframes ohne Benutzerinteraktion partitioniert wird. IndexedDB deckt strukturierte Offline-Datensätze ab; die Cache-API speichert Service-Worker-Ressourcen. Die Überprüfung der Boolean-Verfügbarkeit zeigt Ihnen, ob SPA-Bootstrap-Prozesse Feature-Flags clientseitig laden können — unabhängig davon, ob Marketing-Tags geladen werden.

navigator.storage.estimate() legt die Auslastung im Verhältnis zum Kontingent offen, wenn dies zulässig ist, was beim Debuggen von „PWA plötzlich schreibgeschützt“-Vorfällen hilft, nachdem OS-Backup-Tools das Profillaufwerk gefüllt haben.

Signale über den Speicher hinaus: DNT und GPC

navigator.doNotTrack bleibt für veraltete Dashboards lesbar, ändert jedoch selten das Verhalten von Anzeigenauktionen. Global Privacy Control — wenn navigator.globalPrivacyControl === true — kommuniziert eine Opt-out-Haltung, die einige Frameworks auf gesetzliche Verkaufs- oder Weitergabeverbote abbilden. Die Anzeige beider Werte klärt Compliance-Verantwortliche auf, ohne vorzugeben, dass eines davon eine Consent Management Platform (CMP) ersetzt.

Überprüfungen der Storage Access API sind für eingebettete Abläufe wichtiger: document.hasStorageAccess() beantwortet die Frage, ob das aktuelle Frame delegierten Zugriff erhalten hat — weniger relevant auf einer redaktionellen Top-Level-Seite, aber entscheidend bei der Behebung fehlerhafter Apple-Pay- oder OIDC-Popups.

Warum dies kein CMP oder Tracker-Verzeichnis ist

Consent Management Platforms kategorisieren Anbieter, Rechtsgrundlagen, Banner-Texte und granulare Optionen. Unser Tool speichert niemals IAB Transparency & Consent Framework-Strings — es beantwortet lediglich Fragen zur Infrastruktur: „Kann dieser Browser aktuell den First-Party-Status mithilfe von Standard-APIs aufrechterhalten?“. Kombinieren Sie dies mit Netzwerk-Panels, Tag-Managern und /dns-Abfragen, wenn Sie seitenübergreifende Aufrufe analysieren.

Praktische Hinweise für Support-Teams

Bitten Sie Benutzer, die Diagnose in einem privaten Fenster ohne Erweiterungen und anschließend mit ihrem Unternehmensprofil auszuführen. Die getrennten Ergebnisse isolieren Richtlinien- von Erweiterungskonflikten. Kombinieren Sie die Ergebnisse mit Was ist mein Browser und Was ist mein User Agent, bevor Sie Tickets bei Identitätsanbietern eröffnen.

Öffnen Sie Was ist mein Cookie- / Tracking-Status für die Live-Tabelle, die das Testergebnis, die Anzahl der über Skripte sichtbaren Cookies, den Zustand der Speicher-APIs, Kontingentschätzungen, Storage-Access-Hinweise und die DNT/GPC-Sichtbarkeit zusammenfasst — es wird nichts hochgeladen, abgesehen von den normalen Website-Analysen, die in unserer Datenschutzerklärung beschrieben sind.