将访问令牌存储在httponly Cookie中，但用户仍然可以在Chrome Dev Tools的网络选项卡中看到它？

将访问令牌存储在httponly Cookie中是一种常见的安全措施，它可以防止跨站脚本攻击（XSS）窃取访问令牌。httponly Cookie是指在浏览器中设置的Cookie，它的httponly属性被设置为true，这意味着该Cookie只能通过HTTP或HTTPS协议传输，而无法通过JavaScript脚本访问。

然而，即使将访问令牌存储在httponly Cookie中，用户仍然可以在Chrome Dev Tools的网络选项卡中看到它。这是因为Chrome Dev Tools提供了一个功能强大的调试工具，可以查看浏览器与服务器之间的网络通信。在网络选项卡中，可以查看请求和响应的详细信息，包括请求头、响应头和Cookie。

尽管用户可以在Chrome Dev Tools中看到存储在httponly Cookie中的访问令牌，但他们无法通过JavaScript脚本来访问它。这意味着XSS攻击者无法通过恶意脚本来窃取该访问令牌，从而提高了应用程序的安全性。

推荐的腾讯云相关产品是腾讯云Web应用防火墙（WAF）。腾讯云WAF是一种云原生的Web应用安全解决方案，可以帮助用户保护Web应用免受常见的网络攻击，包括XSS攻击。它提供了一系列的安全策略和规则，可以检测和阻止恶意请求，并提供实时的安全报告和告警。

腾讯云WAF的产品介绍链接地址：https://cloud.tencent.com/product/waf