Chrome devtool の Cookie リソース パネルの Http 列のチェックマークは、HttpOnly Cookie を示していますか?
これを確認するドキュメントは見つかりませんが、そうであると思われます。アプリがセッション Cookie に HttpOnly を使用していることを確認しようとしています。
Chrome devtool の Cookie リソース パネルの Http 列のチェックマークは、HttpOnly Cookie を示していますか?
これを確認するドキュメントは見つかりませんが、そうであると思われます。アプリがセッション Cookie に HttpOnly を使用していることを確認しようとしています。
はい。コンソールに入るdocument.cookie
と、チェックした Cookie がどれも表示されていないことがわかります。
HTTP = HttpOnly フラグ、Secure = セキュア フラグ。
はい。ページを右クリックするか、F12
ボタンを押します。これにより、開発者ツール ウィンドウが開きます。アプリケーションタブに移動します。次のように表示されます:-
ここで、タブに document.cookie と入力すると、csrf トークンのみが表示されます。
デフォルトでセッション Cookie が httpCookie になるように指定するに'useHttpOnly'
は、Java Web アプリケーションの tomcat の context.xml に属性を設定します。詳細については、http://tomcat.apache.org/tomcat-7.0-doc/config/context.html#Common_Attributesを参照してください。
だから2つのこと。
1)HTTP only cookie
この名前は、HTTPOnly Cookie を HTTPS 経由で送信できるため、誤解を招く可能性があり、完全に正常に機能します。Cookieの主な特徴は、HTTP Only
JavaScript を使用してアクセスできないことです。Application
実際、Chrome のタブでこれを手動で編集することさえできません。
2) では、HTTP のみの Cookie をどのように編集できますか? クロムでは、拡張機能を使用して、開発中にクッキーを編集できます。本番モードではman in the middle
、HTTP 接続への攻撃なしにこれを改竄する方法はありません。