google chrome क्रोम डेवलपर टूल्स> संसाधन> कुकीज़> http कॉलम, यहां एक चेकमार्क है जो केवल कुकी को इंगित करता है?




google-chrome cookies (4)

क्रोम devtool के कुकी संसाधन पैनल के एचटीपी कॉलम पर चेकमार्क एक HttpOnly कुकी इंगित करता है?

मुझे ऐसे दस्तावेज़ नहीं मिल रहे हैं जो इसकी पुष्टि करते हैं, हालांकि मुझे संदेह है कि यह मामला है। मैं यह सत्यापित करने की कोशिश कर रहा हूं कि मेरा ऐप सत्र कुकीज़ के लिए केवल एचटीपी का उपयोग कर रहा है।


तो 2 चीजें।

1) HTTP only cookie यह नाम थोड़ा भ्रामक है क्योंकि हम HTTPS पर HTTP only cookie भेज सकते हैं और यह पूरी तरह से ठीक काम करता है। HTTP Only कुकी की मुख्य विशेषताएं यह जावास्क्रिप्ट का उपयोग करके एक्सेस नहीं किया जा सकता है। वास्तव में आप क्रोम के Application टैब में मैन्युअल रूप से इसे संपादित भी नहीं कर सकते हैं।

2) तो आप HTTP केवल कुकी कैसे संपादित कर सकते हैं? क्रोम में आप विकास के दौरान कुकी को संपादित करने के लिए एक्सटेंशन का उपयोग कर सकते हैं। उत्पादन मोड man in the middle HTTP कनेक्शन पर man in the middle हमले man in the middle बिना आप इसे वयस्क बना सकते हैं।


आज (मई 2016), इसी कारण से चारों ओर घूमते हुए, मुझे यह प्रश्न और डेवलपर्स. google.com से यह पृष्ठ समझा गया:

HTTP: यदि मौजूद है, तो इंगित करता है कि कुकीज केवल HTTP पर उपयोग की जानी चाहिए, और जावास्क्रिप्ट संशोधन की अनुमति नहीं है।


हाँ। कंसोल में document.cookie दर्ज करें, और आप देखेंगे कि चेक की गई कोई भी कुकी दिखाई नहीं दे रही है।

HTTP = एचटीपी केवल ध्वज, सुरक्षित = सुरक्षित ध्वज।


हाँ। अपने पेज पर राइट क्लिक करें या F12 बटन दबाएं। यह डेवलपर्स टूल विंडो खुल जाएगा। एप्लिकेशन टैब पर जाएं। यह अनुसरण के रूप में दिखाएगा: -

अब, टैब पर document.cookie टाइप करना, आप केवल सीएसआरएफ टोकन दिखाए जा रहे देखेंगे।

डिफ़ॉल्ट रूप से httpCookie होने के लिए सत्र कुकीज़ निर्दिष्ट करने के लिए, जावा वेब एप्लिकेशन के लिए tomcat में context.xml में 'useHttpOnly' विशेषता सेट करें। अधिक जानकारी के लिए, http://tomcat.apache.org/tomcat-7.0-doc/config/context.html#Common_Attributes संदर्भ लें







httponly