visor ver tools tool developer cookie chrome google-chrome cookies google-chrome-devtools httponly

google chrome - tools - Herramientas de desarrollador de Chrome> recursos> cookies> columna http, ¿aquí una marca de verificación indica cookie HttpOnly?



view cookies chrome developer tools (4)

Entonces 2 cosas.

1) HTTP only cookie Este nombre es un poco engañoso ya que podemos enviar cookies HTTPOnly a través de HTTPS y funciona perfectamente bien. Las principales características de HTTP Only cookie HTTP Only es que no se puede acceder mediante JavaScript. De hecho, no puedes editarlo manualmente en la pestaña de la Application de Chrome.

2) Entonces, ¿cómo se puede editar la cookie HTTP Only? En Chrome, puede usar la extensión para editar cookies durante el desarrollo. En el modo de producción, no hay manera de adulterar esto sin un man in the middle ataque man in the middle de la conexión HTTP.

¿La marca de verificación en la columna Http del panel de recursos de cookies de Chrome devtool indica una cookie HttpOnly?

No puedo encontrar documentos que lo confirmen, aunque sospecho que es el caso. Estoy intentando verificar que mi aplicación esté usando HttpOnly para las cookies de sesión.

Hoy (mayo de 2016), buscando en Google por la misma razón, encontré esta pregunta y esta página de developers.google.com explicando:

HTTP: si está presente, indica que las cookies deben usarse solo a través de HTTP, y no se permite la modificación de JavaScript.

Sí. Haga clic derecho en su página o presione el botón F12 . Esto abrirá la ventana de herramientas de desarrolladores. Ir a la pestaña de la aplicación. Se mostrará de la siguiente manera:

Ahora, al escribir document.cookie en la pestaña, verá que solo se muestra el token csrf.

Para especificar que las cookies de sesión sean httpCookie de manera predeterminada, establezca ''useHttpOnly'' en context.xml en tomcat, para la aplicación web java. Para obtener más información, consulte http://tomcat.apache.org/tomcat-7.0-doc/config/context.html#Common_Attributes

Sí. Ingrese document.cookie en la consola y verá que ninguna de las cookies marcadas está visible.

HTTP = indicador HttpOnly, seguro = indicador seguro.