Chrome devtool の Cookie リソース パネルの Http 列のチェックマークは、HttpOnly Cookie を示していますか?
これを確認するドキュメントは見つかりませんが、そうであると思われます。アプリがセッション Cookie に HttpOnly を使用していることを確認しようとしています。
57894 次
4 に答える
78
はい。コンソールに入るdocument.cookieと、チェックした Cookie がどれも表示されていないことがわかります。
HTTP = HttpOnly フラグ、Secure = セキュア フラグ。
于 2012-07-07T19:36:35.480 に答える
16
はい。ページを右クリックするか、F12ボタンを押します。これにより、開発者ツール ウィンドウが開きます。アプリケーションタブに移動します。次のように表示されます:-
ここで、タブに document.cookie と入力すると、csrf トークンのみが表示されます。
デフォルトでセッション Cookie が httpCookie になるように指定するに'useHttpOnly'は、Java Web アプリケーションの tomcat の context.xml に属性を設定します。詳細については、http://tomcat.apache.org/tomcat-7.0-doc/config/context.html#Common_Attributesを参照してください。
于 2016-11-18T07:21:52.767 に答える
12
だから2つのこと。
1)HTTP only cookieこの名前は、HTTPOnly Cookie を HTTPS 経由で送信できるため、誤解を招く可能性があり、完全に正常に機能します。Cookieの主な特徴は、HTTP OnlyJavaScript を使用してアクセスできないことです。Application実際、Chrome のタブでこれを手動で編集することさえできません。
2) では、HTTP のみの Cookie をどのように編集できますか? クロムでは、拡張機能を使用して、開発中にクッキーを編集できます。本番モードではman in the middle、HTTP 接続への攻撃なしにこれを改竄する方法はありません。
于 2017-01-08T07:36:47.703 に答える