Chrome开发者工具>资源> Cookie> http列,这里的复选标记是否表示HttpOnly cookie?
54 cookies httponly google-chrome google-chrome-devtools
Chrome devtool的Cookie资源面板的Http列上的复选标记是否表示HttpOnly cookie?
虽然我怀疑是这种情况,但我找不到证实这一点的文件.我正在尝试验证我的应用程序正在使用HttpOnly进行会话cookie.
Rob*_*b W 69
是.document.cookie在控制台中输入,您将看到所有选中的cookie都不可见.
HTTP = HttpOnly标志,Secure =安全标志.
- @Vivek httpOnly cookie只对服务器可见,而不是JavaScript代码. (6认同)
Man*_*hit 11
是.右键单击您的页面或按下F12按钮.这将打开开发人员工具窗口.转到应用程序选项卡.它将显示如下: -
现在,在选项卡上键入document.cookie,您将看到只显示csrf令牌.
要将会话cookie指定为默认情况下为httpCookie,请'useHttpOnly'在tomcat中的context.xml中为java Web应用程序设置属性.有关更多信息,请参阅http://tomcat.apache.org/tomcat-7.0-doc/config/context.html#Common_Attributes
sap*_*apy 10
所以2件事.
1)HTTP only cookie这个名称有点误导,因为我们可以通过HTTPS发送HTTPOnly cookie,它完全正常.HTTP Onlycookie的主要特征是无法使用JavaScript访问.事实上,您甚至无法在Chrome的Application标签中手动修改此内容.
2)那么如何编辑HTTP Only cookie?在chrome中你可以使用扩展来在开发时编辑 cookie.在生产模式下,您无法man in the middle在不受HTTP连接攻击的情况下成人.
- 上面的#1 是不正确的。在 Chrome 的开发工具中,我似乎可以通过检查 HTTP 来编辑 cookie 没有问题?它们不会出现在 document.cookies 中。 (3认同)
| 归档时间: |
|
| 查看次数: |
40777 次 |
| 最近记录: |