如何在pylons中创建authkit会话cookie HttpOnly?

时间:2009-08-03 03:21:25

标签: python cookies pylons authkit

我使用带有Pylons的authkit模块,我看到它设置的会话cookie(恰当地命名为authkit)未被设置为HttpOnly。

有没有简单的方法让它成为HttpOnly? (“简单”是指不涉及黑客authkit代码的那个。)

1 个答案:

答案 0 :(得分:2)

这在authkit中没有记录,因为它只在Python 2.6中开始工作(参见here),但如果你有Python 2.6那么

authkit.cookie.params.httponly = true
配置中的

应该可以工作并按照你的意愿行事。

authkit内部使用Cookie.SimpleCookie,这就限制了authkit.cookie.params.的密钥 - 直到Python 2.5,它们只是标准支持的密钥RFC 2109 ,但在Python 2.6中添加了有用的httponly扩展 - 这是authkit自动获得支持的原因...因为,非常正确,它不会自己进行检查,而是将所有检查委托给{{ 1}}。

如果您坚持使用Python 2.5或更早版本,那么要完成这项工作将需要更多的努力(不是更改authkit,而是monkeypatching Python的Cookie.py,或者更好,如果可行的话,安装更新版本的Cookie。 py。来自sys.path中早于Python自己的标准库目录的Python 2.6源代码。)