Herramientas para desarrolladores de Chrome > recursos > cookies > columna http, ¿una marca de verificación aquí indica cookie HttpOnly?

Así que 2 cosas .

1) HTTP only cookie este nombre es un poco engañoso, ya que podemos enviar HttpOnly cookie a través de HTTPS y funciona perfectamente bien. Las principales características de la cookie HTTP Only es que no se puede acceder a ella usando JavaScript . De hecho, ni siquiera se puede editar manualmente esto en la pestaña Application de Chrome.

2) Entonces, ¿cómo puede editar la cookie solo HTTP ? En Chrome puede usar la extensión para editar la cookie durante el desarrollo . En modo de producción no hay manera de adulterar esto sin man in the middle ataque en conexión HTTP.

Sí. Haga clic derecho en su página o presione el botón F12. Esto abrirá la ventana de herramientas de desarrolladores. Vaya a la pestaña aplicación. Se mostrará de la siguiente manera: -

Ahora, escribiendo documento.cookie en la pestaña, verá que solo se muestra el token csrf.

Para especificar que las cookies de sesión sean HttpCookie de forma predeterminada, establezca el atributo 'useHttpOnly' en contexto.xml en tomcat, para la aplicación web java. Para obtener más información, consulte http://tomcat.apache.org/tomcat-7.0-doc/config/context.html#Common_Attributes

Hoy (mayo de 2016), buscando en Google por la misma razón, encontré esta pregunta y esta página de developers.google.com explicando:

HTTP: Si está presente, indica que las cookies deben usarse solo a través de HTTP, y no se permite la modificación de JavaScript.