Chrome outils de développement> ressources> cookies> colonne http, une coche ici indique-t-elle un cookie HttpOnly?
Est-ce que la coche dans la colonne Http de Chrome panneau de ressources des cookies de devtool indique un cookie HttpOnly?
Je ne trouve pas de documents confirmant cela, bien que je soupçonne que c'est le cas. J'essaie de vérifier que mon application utilise HttpOnly pour les cookies de session.
Oui. Entrer document.cookie dans la console, et vous verrez qu'aucun des cookies cochés n'est visible.
HTTP = indicateur HttpOnly, Secure = indicateur sécurisé.
Donc 2 choses.
1) HTTP only cookie ce nom est un peu trompeur car nous pouvons envoyer des cookies HTTPOnly sur HTTPS et cela fonctionne parfaitement bien. Principales caractéristiques de HTTP Only le cookie est inaccessible via JavaScript. En fait, vous ne pouvez même pas modifier manuellement cela dans l'onglet Application de Chrome.
2) Alors, comment pouvez-vous modifier le cookie HTTP uniquement? Dans chrome Vous pouvez utiliser extension pour éditer cookie pendant le développement. En mode production, il n'y a aucun moyen de l'adultrer sans man in the middle attaque sur la connexion HTTP.
Oui. Faites un clic droit sur votre page ou appuyez sur F12 bouton. Cela ouvrira la fenêtre des outils des développeurs. Accédez à l'onglet application. Cela montrera comme suit: -
Maintenant, en tapant document.cookie sur l'onglet, vous ne verrez que le jeton csrf affiché . 
Pour spécifier les cookies de session comme httpCookie par défaut, définissez 'useHttpOnly' attribut dans context.xml dans Tomcat, pour Java. Pour plus d'informations, reportez-vous à http://Tomcat.Apache.org/Tomcat-7.0-doc/ config/context.html # Common_Attributes
Aujourd'hui (mai 2016), parcourant Google pour la même raison, j'ai trouvé cette question et cette page de developers.google.com expliquant:
HTTP: s'il est présent, indique que les cookies doivent être utilisés uniquement via HTTP et que la modification JavaScript n'est pas autorisée.