Công cụ dành cho nhà phát triển Chrome> tài nguyên> cookie> http cột, dấu kiểm ở đây có chỉ ra cookie HttpOnly không?

Question

Dấu kiểm tại cột Http của bảng điều khiển Tài nguyên cookie của Chrome devtool có biểu thị cookie HttpOnly không?

Tôi không thể tìm thấy tài liệu xác nhận điều này, mặc dù tôi nghi ngờ đó là trường hợp. Tôi đang cố gắng xác minh ứng dụng của mình đang sử dụng HttpOnly cho cookie phiên.

Answer 1

Có. Nhập document.cookie vào bảng điều khiển và bạn sẽ thấy rằng không có cookie được chọn nào hiển thị.

HTTP = HttpOnly flag, Secure = secure flag.

Answer 2

Hôm nay (tháng 5 năm 2016), googling xung quanh với cùng lý do, tôi thấy câu hỏi này và this page from developers.google.com giải thích:

HTTP: Nếu có, chỉ ra rằng cookie nên được sử dụng chỉ qua HTTP, và sửa đổi JavaScript không cho phép.

Answer 3

Có. Nhấp chuột phải vào trang của bạn hoặc nhấn nút F12. Điều này sẽ mở cửa sổ công cụ dành cho nhà phát triển. Chuyển đến tab ứng dụng. Nó sẽ hiển thị như sau: -

Bây giờ, gõ document.cookie trên tab, bạn sẽ chỉ thấy CSRF thẻ được hiển thị.

Để chỉ định cookie phiên là httpCookie theo mặc định, hãy đặt thuộc tính 'useHttpOnly' trong context.xml trong tomcat, cho ứng dụng web java. Để biết thêm thông tin, hãy tham khảo http://tomcat.apache.org/tomcat-7.0-doc/config/context.html#Common_Attributes

Answer 4

Vì vậy, 2 điều.

1) HTTP only cookie tên này hơi gây nhầm lẫn khi chúng tôi có thể gửi cookie HTTPOnly qua HTTPS và hoạt động hoàn toàn tốt. Đặc điểm chính của HTTP Only cookie là nó không thể được truy cập bằng cách sử dụng JavaScript. Trên thực tế, bạn thậm chí không thể chỉnh sửa thủ công điều này trong tab Application của Chrome.

2) Vậy làm cách nào để bạn có thể chỉnh sửa cookie Chỉ HTTP? Trong chrome Bạn có thể sử dụng extension to edit cookie trong khi phát triển. Trong chế độ sản xuất không có cách nào bạn có thể trưởng thành điều này mà không cần man in the middle tấn công vào kết nối HTTP.