Hace la marca de verificación en el Http columna de Chrome devtool Cookie del panel de recursos indicar un HttpOnly cookie?

No puedo encontrar documentos que confirman que este, aunque sospecho que es el caso. Estoy tratando de verificar mi aplicación está utilizando HttpOnly para las cookies de sesión.

InformationsquelleAutor | 2012-07-07

4 Comentarios

  1. 67

    Sí. Introduzca documento.cookie en la consola, y verás que ninguno de los comprueban las cookies son visibles.

    Herramientas para desarrolladores de Chrome > recursos > cookies > http columna, hace una marca de verificación indican HttpOnly cookie?

    HTTP = HttpOnly bandera, Seguro = seguro bandera.

    • tengo una cookie variable como HTTP comprobado, yo no soy capaz de conseguir que la variable de documento.cookie , todos los que no sean HTTP comprobado variables vienen pero no HTTP comprobado, ¿por Qué tan
    • httpOnly cookies sólo son visibles para el servidor, no el código JavaScript.
  2. 9

    Sí. Haga clic derecho en tu página o pulse F12 botón. Esto abrirá los desarrolladores de herramientas de la ventana. Ir a la aplicación de la ficha. Se mostrará como sigue :-

    Herramientas para desarrolladores de Chrome > recursos > cookies > http columna, hace una marca de verificación indican HttpOnly cookie?

    Ahora, al escribir el documento.cookie en la ficha, verá sólo csrf token que se muestra.Herramientas para desarrolladores de Chrome > recursos > cookies > http columna, hace una marca de verificación indican HttpOnly cookie?

    Para especificar las cookies de sesión para ser httpCookie por defecto, establecer 'useHttpOnly' atributo en context.xml en tomcat, para aplicaciones web java. Para obtener más información, consulte http://tomcat.apache.org/tomcat-7.0-doc/config/context.html#Common_Attributes

  3. 9

    Para 2 cosas .

    1) HTTP only cookie este nombre es un poco engañoso, ya que podemos enviar HTTPOnly cookie a través de HTTPS y funciona perfectamente bien. Principales características de HTTP Only cookie es que no puede ser accedido a través de JavaScript . En el hecho de que Usted no puede incluso editar manualmente esta en Chrome Application ficha.

    2) Entonces, ¿cómo puede editar Sólo HTTP cookie ? En chrome puede utilizar extensión para editar cookie al desarrollo . En el modo de producción no hay manera que usted puede adultrate esto sin man in the middle ataque en conexión HTTP.

    • #1 arriba es incorrecta. En Chrome dev tools, me parece que para ser capaz de editar las cookies con HTTP marcada con el no hay problema? Ellos no aparecen en el documento.las cookies.
    • La cookie se restablece a pesar de que después de actualizar la página.

Dejar respuesta

Please enter your comment!
Please enter your name here