如何测试 httpOnly cookie 标志

Question

我在 websphere 中为 jsession cookie 设置了以下属性 com.ibm.ws.webcontainer.HTTPOnlyCookies。

知道如何在 Firefox 或 IE 中使用 JavaScript 进行最佳测试吗？

Answer 1

在 IE 中这是一个痛苦。我有 IE9，所以你的屏幕可能会有所不同。

按 F12，转到网络选项卡，然后按开始捕获。返回 IE，然后打开您要查看的页面。返回 F12 窗口，您可以看到所有单独的 HTTP 请求，选择您正在检查 cookie 的页面或资产，然后双击它。然后，您应该能够在相关选项卡上看到所有响应标头和 cookie。

---

编辑：

HttpOnly Cookie 看起来像这样：

Set-Cookie: SessionId=z5ymkk45aworjo2l31tlhqqv;路径=/； HttpOnly

Cookie 可能不会随每个响应一起发送，因此您可能需要清除所有 Cookie，然后重试以确保与您正在监控的请求一起发送 Cookie。

Answer 2

Firebug - 单击 Cookie 选项卡

Answer 3

firecookie for firefox 给了我答案。

Answer 4

在 Chrome 或 Firefox 上执行此操作的最简单方法如下：

• 打开页面，例如 somedomain.com
• 通过右键单击页面，然后单击 打开 dev 工具>Inspect 或 Inspect Element
• 单击 Network 选项卡
• 单击任何实际请求并转到 Headers 部分
• 现在查找 < response headers 中的 code>set-cookie

下面是详细截图

Answer 5

将以下行添加到您的应用程序中
细绳

sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure; HttpOnly");