Chrome developer tools> resources> cookies> http столбец, здесь галочка указывает на файл cookie HttpOnly?

флажок в столбце Http панели ресурсов Cookie Chrome devtool указывает на файл cookie HttpOnly?

Я не могу найти документы, которые это подтверждают, хотя я подозреваю, что это так. Я пытаюсь проверить, что мое приложение использует HttpOnly для сеансовых файлов cookie.

4 ответов


да. Enter document.cookie в консоли, и вы увидите, что ни один из проверенных куки видны.

Name Value Domain Path Expires Size HTTP Secure

HTTP = HttpOnly флаг, Secure = безопасный флаг.


Итак, 2 вещи .

1) HTTP only cookie Это имя немного вводит в заблуждение, поскольку мы можем отправить файл cookie HTTPOnly через HTTPS, и он отлично работает. Основные характеристики HTTP Only cookie-это невозможно получить доступ с помощью JavaScript . На самом деле вы даже не можете вручную редактировать это в Chrome Application tab.

2) Итак, как вы можете редактировать http только cookie ? В chrome вы можете использовать расширение для редактирования cookie во время разработки . В режиме производства вы не можете adultrate это без man in the middle атака на HTTP-соединение.


да. Щелкните правой кнопкой мыши на странице или нажмите . Откроется окно инструменты разработчиков. Перейдите на вкладку приложение. Он покажет, как следуйте :-

enter image description here

теперь введите документ.cookie на вкладке вы увидите только токен csrf.enter image description here

чтобы указать сеансовые куки httpCookie по умолчанию, установите


сегодня (май 2016), гугля по той же причине, я нашел этот вопрос и эта страница из developers.google.com объясняя:

HTTP: если присутствует, указывает, что cookies должны использоваться только через HTTP, и модификация JavaScript не допускается.