Herramientas de desarrollador de Chrome> recursos> cookies> columna http, ¿marca de verificación aquí la cookie HttpOnly?

Question

¿La marca de verificación en la columna Http del panel de recursos de cookies de Chrome devtool indica una cookie HttpOnly?

No encuentro documentos que lo confirmen, aunque sospecho que es el caso. Estoy intentando verificar que mi aplicación esté usando HttpOnly para las cookies de sesión.

Answer 1

Sí. Ingrese document.cookie en la consola y verá que ninguna de las cookies marcadas está visible.

HTTP = HttpOnly bandera, bandera seguro Secure =.

Answer 2

Hoy (mayo de 2016), alrededor de google por la misma razón, me encontré con esta pregunta y this page from developers.google.com explicando:

HTTP: Si está presente, indica que las cookies deben utilizarse sólo a través de HTTP, y la modificación JavaScript es No permitido.

Answer 3

Sí. Haga clic derecho en su página o presione el botón F12. Esto abrirá la ventana de herramientas de desarrolladores. Ir a la pestaña de la aplicación. Se va a aparecer de la siguiente manera: -

Ahora, al escribir document.cookie en la ficha, sólo verá csrf token muestra.

Para especificar que las cookies de sesión sean httpCookie de manera predeterminada, establezca el atributo 'useHttpOnly' en context.xml en tomcat, para la aplicación web java. Para obtener más información, consulte http://tomcat.apache.org/tomcat-7.0-doc/config/context.html#Common_Attributes

Answer 4

Así 2 cosas.

1) HTTP only cookie este nombre es un poco engañoso ya que podemos enviar cookies HTTPOnly a través de HTTPS y funciona perfectamente bien. Las principales características de la cookie HTTP Only es que no se puede acceder mediante JavaScript. De hecho, no puedes editarlo manualmente en la pestaña Application de Chrome.

2) Entonces, ¿cómo se puede editar la cookie HTTP Only? En Chrome, puede usar la cookie extension to edit durante el desarrollo. En el modo de producción, no hay manera de adulterar esto sin un ataque man in the middle a la conexión HTTP.