是的。在控制台中输入document.cookie，您将看到所有选中的cookie都不可见。

的数据
HTTP = HttpOnly标志，Secure =安全标志。

是的。右键单击您的页面或按F12按钮。这将打开开发人员工具窗口。转到应用程序选项卡。它将显示如下：-
x1c 0d1x的数据
现在，在选项卡上输入document.cookie，您将看到只显示csrf令牌。

要将会话cookie默认指定为httpCookie，请在tomcat的context.xml中设置'useHttpOnly'属性，用于java web应用程序。有关详细信息，请参阅http://tomcat.apache.org/tomcat-7.0-doc/config/context.html#Common_Attributes

两件事。
1)HTTP only cookie这个名字有点误导，因为我们可以通过HTTPS发送HTTPOnly cookie，它工作得很好。HTTP Only cookie的主要特点是不能使用JavaScript访问。事实上，你甚至不能在Chrome的Application标签中手动编辑它。
2)如何编辑HTTP Only cookie？在chrome中，您可以在开发时使用extension to edit cookie。在生产模式下，您无法在HTTP连接上不受man in the middle攻击的情况下进行Adultrate。

今天（2016年5月），出于同样的原因，我在谷歌上搜索了一下，发现了这个问题和这个来自developers.google.com的页面，解释说：
HTTP：如果存在，则表示只能通过HTTP使用Cookie，并且不允许修改JavaScript。

可视化步骤：
1.安装StorageAce chrome扩展。
1.单击此选项卡（当前问题的选项卡）上的storageAce图标。
1.单击“HttpOnly”一键快速过滤器。
1.所有过滤的cookie都是HttpOnly，您将看到在开发人员工具-->应用程序--> cookie中为每个过滤的cookie检查HttpOnly单元格。

使用StorageAce的HttpOnly cookiex1c 0d1x
使用开发者工具的HttpOnly cookie

如果您需要查看Non-HttpOnly cookies，可以打开Invert Filter Toggle，如下所示：

的