如何测试 httpOnly cookie 标志
Posted
技术标签:
【中文标题】如何测试 httpOnly cookie 标志【英文标题】:how do I test httpOnly cookie flag 【发布时间】:2011-05-18 00:32:37 【问题描述】:我在 websphere 中为 jsession cookie 设置了以下属性
com.ibm.ws.webcontainer.HTTPOnlyCookies
.
知道如何最好地在 Firefox 或 IE 中使用 javascript 进行测试吗?
【问题讨论】:
【参考方案1】:firefox 的 firecookie 给了我答案。
【讨论】:
【参考方案2】:在 IE 中很痛苦。我有 IE9,所以你的屏幕可能会有所不同。
按 F12,转到网络选项卡,然后按开始捕获。回到 IE 然后打开你要查看的页面。返回 F12 窗口,您将看到所有单独的 HTTP 请求,选择您正在检查 cookie 的页面或资产,然后双击它。然后,您应该能够在其相关选项卡上看到所有响应标头和 cookie。
编辑:
HttpOnly Cookie 看起来像这样:
设置 Cookie:SessionId=z5ymkk45aworjo2l31tlhqqv;路径=/; HttpOnly
cookie 可能不会随每个响应一起发送,因此您可能需要清除所有 cookie,然后重试以确保与您正在监控的请求一起发送。
【讨论】:
它没有显示 httponly 也没有显示网站上设置的安全标志,它启用了 HTTPS...【参考方案3】:Firebug - 点击 Cookies 标签
【讨论】:
【参考方案4】:将以下行添加到您的应用中 字符串
sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure; HttpOnly");
【讨论】:
以上是关于如何测试 httpOnly cookie 标志的主要内容,如果未能解决你的问题,请参考以下文章
如何在 ngCookies 中设置 httpOnly 标志?
从 HttpURLConnection 保存 Cookie(包括 !httponly 标志)和会话
ASP MVC 3 cookie 丢失 HttpOnly 和 Secure 标志