我使用带有Pylons的authkit模块,我看到它设置的会话cookie(恰当地命名为authkit)未被设置为HttpOnly。
有没有简单的方法让它成为HttpOnly? (“简单”是指不涉及黑客authkit代码的那个。)
答案 0 :(得分:2)
这在authkit中没有记录,因为它只在Python 2.6中开始工作(参见here),但如果你有Python 2.6那么
authkit.cookie.params.httponly = true
配置中的应该可以工作并按照你的意愿行事。
authkit内部使用Cookie.SimpleCookie
,这就限制了authkit.cookie.params.
的密钥 - 直到Python 2.5,它们只是标准支持的密钥RFC 2109 ,但在Python 2.6中添加了有用的httponly
扩展 - 这是authkit自动获得支持的原因...因为,非常正确,它不会自己进行检查,而是将所有检查委托给{{ 1}}。
如果您坚持使用Python 2.5或更早版本,那么要完成这项工作将需要更多的努力(不是更改authkit,而是monkeypatching Python的Cookie.py,或者更好,如果可行的话,安装更新版本的Cookie。 py。来自sys.path中早于Python自己的标准库目录的Python 2.6源代码。)