如何测试 httpOnly cookie 标志

Posted

技术标签:

【中文标题】如何测试 httpOnly cookie 标志【英文标题】:how do I test httpOnly cookie flag 【发布时间】:2011-05-18 00:32:37 【问题描述】:

我在 websphere 中为 jsession cookie 设置了以下属性 com.ibm.ws.webcontainer.HTTPOnlyCookies.

知道如何最好地在 Firefox 或 IE 中使用 javascript 进行测试吗?

【问题讨论】:

【参考方案1】:

firefox 的 firecookie 给了我答案。

【讨论】:

【参考方案2】:

在 IE 中很痛苦。我有 IE9,所以你的屏幕可能会有所不同。

按 F12,转到网络选项卡,然后按开始捕获。回到 IE 然后打开你要查看的页面。返回 F12 窗口,您将看到所有单独的 HTTP 请求,选择您正在检查 cookie 的页面或资产,然后双击它。然后,您应该能够在其相关选项卡上看到所有响应标头和 cookie。

编辑:

HttpOnly Cookie 看起来像这样:

设置 Cookie:SessionId=z5ymkk45aworjo2l31tlhqqv;路径=/; HttpOnly

cookie 可能不会随每个响应一起发送,因此您可能需要清除所有 cookie,然后重试以确保与您正在监控的请求一起发送。

【讨论】:

它没有显示 httponly 也没有显示网站上设置的安全标志,它启用了 HTTPS...【参考方案3】:

Firebug - 点击 Cookies 标签

【讨论】:

【参考方案4】:

将以下行添加到您的应用中 字符串

sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure; HttpOnly");

【讨论】:

以上是关于如何测试 httpOnly cookie 标志的主要内容,如果未能解决你的问题,请参考以下文章

如何在 ngCookies 中设置 httpOnly 标志?

没有设置安全标志和 HttpOnly 标志的 Cookie

从 HttpURLConnection 保存 Cookie(包括 !httponly 标志)和会话

ASP MVC 3 cookie 丢失 HttpOnly 和 Secure 标志

在我的 iOS 应用程序中,是不是有任何理由为会话 cookie 设置 HttpOnly 和 Secure 标志?

如何使用 JavaScript 读取 HttpOnly cookie