65

Chrome devtool の Cookie リソース パネルの Http 列のチェックマークは、HttpOnly Cookie を示していますか?

これを確認するドキュメントは見つかりませんが、そうであると思われます。アプリがセッション Cookie に HttpOnly を使用していることを確認しようとしています。

4

4 に答える 4

78

はい。コンソールに入るdocument.cookieと、チェックした Cookie がどれも表示されていないことがわかります。

名前 値 ドメイン パス 有効期限 サイズ HTTP セキュア

HTTP = HttpOnly フラグ、Secure = セキュア フラグ。

于 2012-07-07T19:36:35.480 に答える
16

はい。ページを右クリックするか、F12ボタンを押します。これにより、開発者ツール ウィンドウが開きます。アプリケーションタブに移動します。次のように表示されます:-

ここに画像の説明を入力

ここで、タブに document.cookie と入力すると、csrf トークンのみが表示されます。ここに画像の説明を入力

デフォルトでセッション Cookie が httpCookie になるように指定するに'useHttpOnly'は、Java Web アプリケーションの tomcat の context.xml に属性を設定します。詳細については、http://tomcat.apache.org/tomcat-7.0-doc/config/context.html#Common_Attributesを参照してください。

于 2016-11-18T07:21:52.767 に答える
12

だから2つのこと。

1)HTTP only cookieこの名前は、HTTPOnly Cookie を HTTPS 経由で送信できるため、誤解を招く可能性があり、完全に正常に機能します。Cookieの主な特徴は、HTTP OnlyJavaScript を使用してアクセスできないことです。Application実際、Chrome のタブでこれを手動で編集することさえできません。

2) では、HTTP のみの Cookie をどのように編集できますか? クロムでは、拡張機能を使用して、開発中にクッキーを編集できます。本番モードではman in the middle、HTTP 接続への攻撃なしにこれを改竄する方法はありません。

于 2017-01-08T07:36:47.703 に答える