两件事。 1)HTTP only cookie这个名字有点误导,因为我们可以通过HTTPS发送HTTPOnly cookie,它工作得很好。HTTP Only cookie的主要特点是不能使用JavaScript访问。事实上,你甚至不能在Chrome的Application标签中手动编辑它。 2)如何编辑HTTP Only cookie?在chrome中,您可以在开发时使用extension to edit cookie。在生产模式下,您无法在HTTP连接上不受man in the middle攻击的情况下进行Adultrate。
5条答案
按热度按时间guykilcj1#
是的。在控制台中输入
document.cookie
,您将看到所有选中的cookie都不可见。的数据
HTTP = HttpOnly标志,Secure =安全标志。
kokeuurv2#
是的。右键单击您的页面或按
F12
按钮。这将打开开发人员工具窗口。转到应用程序选项卡。它将显示如下:-x1c 0d1x的数据
现在,在选项卡上输入document.cookie,您将看到只显示csrf令牌。
要将会话cookie默认指定为httpCookie,请在tomcat的context.xml中设置
'useHttpOnly'
属性,用于java web应用程序。有关详细信息,请参阅http://tomcat.apache.org/tomcat-7.0-doc/config/context.html#Common_Attributesoxiaedzo3#
两件事。
1)
HTTP only cookie
这个名字有点误导,因为我们可以通过HTTPS发送HTTPOnly cookie,它工作得很好。HTTP Only
cookie的主要特点是不能使用JavaScript访问。事实上,你甚至不能在Chrome的Application
标签中手动编辑它。2)如何编辑HTTP Only cookie?在chrome中,您可以在开发时使用extension to edit cookie。在生产模式下,您无法在HTTP连接上不受
man in the middle
攻击的情况下进行Adultrate。xbp102n04#
今天(2016年5月),出于同样的原因,我在谷歌上搜索了一下,发现了这个问题和这个来自developers.google.com的页面,解释说:
HTTP:如果存在,则表示只能通过HTTP使用Cookie,并且不允许修改JavaScript。
jm2pwxwz5#
可视化步骤:
1.安装StorageAce chrome扩展。
1.单击此选项卡(当前问题的选项卡)上的storageAce图标。
1.单击“HttpOnly”一键快速过滤器。
1.所有过滤的cookie都是HttpOnly,您将看到在开发人员工具-->应用程序--> cookie中为每个过滤的cookie检查HttpOnly单元格。
使用StorageAce的HttpOnly cookiex1c 0d1x
使用开发者工具的HttpOnly cookie
如果您需要查看Non-HttpOnly cookies,可以打开Invert Filter Toggle,如下所示:
的