SESSION_COOKIE_HTTPONLY = True在Django中不起作用:
我在settings.py中设置了以下代码:
SESSION_COOKIE_HTTPONLY = True
即使docs说这是默认值。
然后我使用./manage.py runserver并在网站上运行OWASP Zap扫描程序。但OWASP zap说,cookie没有HttpOnly标志设置:
当我使用gunicorn和nginx为网站提供服务时,我也遇到了这个问题。如何设置此标志?
使用django 1.8;页面accounts/login由django-registration-redux管理,如果相关的话。
1 个答案:
答案 0 :(得分:3)
您在屏幕截图中突出显示的Cookie不是会话Cookie,而是csrf Cookie。此Cookie有一个单独的设置CSRF_COOKIE_HTTPONLY。与SESSION_COOKIE_HTTPONLY不同,CSRF_COOKIE_HTTPONLY默认为False,因此您需要在设置中添加它。
CSRF_COOKIE_HTTPONLY = True
请注意,将csrf cookie设置为http只会使执行ajax post请求变得更加棘手。不是使用cookie,而是你的javascript必须从页面中提取csrf令牌。
相关问题
- Django South迁移不使用null = True和blank = True
- Django unique = True不工作
- <field> __ in = [None,...]不使用ForeignKey(...,null = True)</field>
- Django TastyPie ForeignKey full = true不工作
- 当COMPRESS_ENABLED = True时,Django-compressor js文件无效
- SESSION_COOKIE_HTTPONLY = True在Django中不起作用:
- django required =真不行
- Django,DateTimeField(auto_now_add = True)无效
- blank = True无法在CloudinaryField上工作()
- Django redirect_authenticated_user:真的不行
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?