[Developer Tools] HTTP + Secure Cookie 被拒绝时，Console 未显示明确的警告信息

fengfan2889 — Wed, 22 Apr 2026 07:16:35 GMT

## 反馈内容

**问题描述：**

当服务器返回的 Set-Cookie 响应头中包含 Secure 属性，但当前连接是 HTTP（非 HTTPS）时，浏览器应拒绝设置该 Cookie。在此场景下，Edge/Chrome 会在开发者工具的 Console 中输出明确的警告信息，告知开发者 Cookie 因 Secure 属性且未通过安全连接而被阻止。而 Firefox 目前没有显示任何提示，导致开发者难以定位问题。

**复现步骤：**

1. 使用 Spring Boot + Druid 或任何会返回 Secure Cookie 的 Web 应用
2. 通过 HTTP 协议访问（例如 http://192.168.x.x:8080）
3. 触发登录请求，服务器返回带有 Secure 属性的 Set-Cookie
4. 打开浏览器开发者工具（F12），查看 Console 标签页
5. 观察是否有关于 Cookie 被拒绝的提示

**实际结果（Firefox）：**

Console 中没有显示任何与 Cookie 被拒绝相关的警告或错误信息。开发者仅能从 Cookie 未被保存的现象推测问题，排查效率低下。实际显示此提交没有返回。

**预期结果：**

Firefox 应像 Edge/Chrome 一样，在 Console 中输出明确的警告信息，例如：

"Cookie “JSESSIONID” has been rejected because it has the “Secure” attribute but is not sent over a secure HTTPS connection."

或者类似 Chromium 的提示：

"Set-Cookie was blocked because it had the "Secure" attribute but was not received over a secure connection."

**对比参考（Edge/Chrome 的表现）：**

Edge 开发者工具 Console 中会显示如下内容：

> Cookie 被阻止，因为它具有 "Secure" 属性，但未通过安全连接发送。Access-Control-Request-Method

**影响范围：**

- 任何在 HTTP 连接下返回 Secure Cookie 的 Web 应用
- 特别是开发调试阶段，开发者经常使用 HTTP + IP 地址进行测试
- 该问题会显著增加此类问题的排查难度

**建议改进：**

在 Firefox 开发者工具的 Console 中增加对 Set-Cookie 因 Secure 属性（以及 SameSite 等其他安全属性）被拒绝的明确警告提示，与 Chromium 系浏览器保持一致的开发者体验。

**环境信息：**

- 操作系统：Windows 11
- Firefox 版本：请填写你当前使用的版本号
- 其他浏览器版本（对比用）：Edge 版本号

topic [Developer Tools] HTTP + Secure Cookie 被拒绝时，Console 未显示明确的警告信息 in Discussions

[Developer Tools] HTTP + Secure Cookie 被拒绝时，Console 未显示明确的警告信息