Chrome devtool 的 Cookie 资源面板的 Http 列的复选标记是否表示 HttpOnly cookie?
我找不到证实这一点的文档,尽管我怀疑是这样。我正在尝试验证我的应用程序是否将 HttpOnly 用于会话 cookie。
user854894
问问题
57894 次
4 回答
78
于 2012-07-07T19:36:35.480 回答
16
是的。右键单击您的页面或按下F12按钮。这将打开开发人员工具窗口。转到应用程序选项卡。它将显示如下:-
现在,在选项卡上键入 document.cookie,您将看到只显示 csrf 令牌。
要将会话 cookie 默认指定为 httpCookie,请'useHttpOnly'在 tomcat 的 context.xml 中设置属性,用于 java Web 应用程序。有关详细信息,请参阅http://tomcat.apache.org/tomcat-7.0-doc/config/context.html#Common_Attributes
于 2016-11-18T07:21:52.767 回答
12
所以 2 件事。
1)HTTP only cookie这个名字有点误导,因为我们可以通过 HTTPS 发送 HTTPOnly cookie,它工作得很好。cookie 的主要特点HTTP Only是无法使用 JavaScript 访问。事实上,您甚至无法在 Chrome 的Application标签中手动编辑它。
2) 那么如何编辑 HTTP Only cookie 呢?在 chrome 中,您可以在开发时使用扩展来编辑cookie。man in the middle在生产模式下,如果不对HTTP 连接进行攻击,您就无法对其进行掺假。
于 2017-01-08T07:36:47.703 回答
3
今天(2016 年 5 月),出于同样的原因谷歌搜索,我发现了这个问题和来自 developers.google.com 的这个页面解释:
HTTP:如果存在,则表示只能通过 HTTP 使用 cookie,并且不允许修改 JavaScript。
于 2016-05-21T17:19:04.807 回答