Chrome開発者ツール>リソース> cookie> http列、ここのチェックマークはHttpOnly cookieを示していますか?
Chrome devtoolのCookieリソースパネルのHttp列のチェックマークは、HttpOnly Cookieを示していますか?
私はそうだと思うが、これを確認するドキュメントを見つけることができない。アプリがセッションCookieにHttpOnlyを使用していることを確認しようとしています。
だから2つのこと。
1)HTTP only cookieこの名前は、HTTPOnly CookieをHTTPS経由で送信でき、完全に正常に機能するため、少し誤解を招く恐れがあります。 HTTP Only Cookieの主な特徴は、JavaScriptを使用してアクセスできないことです。実際には、Chromeの[Application]タブでこれを手動で編集することもできません。
2)では、HTTP Only Cookieをどのように編集できますか? In chrome開発中に extension to edit を使用できます。本番モードでは、HTTP接続に対するman in the middle攻撃なしでこれを調整する方法はありません。
はい。ページを右クリックするか、_F12_ボタンを押します。これにより、開発者ツールウィンドウが開きます。 [アプリケーション]タブに移動します。次のように表示されます:-
タブでdocument.cookieと入力すると、csrfトークンのみが表示されます。 
セッションCookieをデフォルトでhttpCookieに指定するには、Tomcatのcontext.xmlで_'useHttpOnly'_属性をJava Webアプリケーションに設定します。詳細については、 http: //Tomcat.Apache.org/Tomcat-7.0-doc/config/context.html#Common_Attributes
今日(2016年5月)、同じ理由でうろついて、この質問を見つけました developers.google.comのこのページ 説明:
HTTP:存在する場合、CookieはHTTP経由でのみ使用され、JavaScriptの変更は許可されないことを示します。