如何防止用户设置pyramid_beaker使用的会话ID cookie的值?

时间:2013-04-30 15:20:27

标签: security pyramid beaker

我有一个使用pyramid_beaker的金字塔应用程序。这是我的配置:

# Options For Sessions and Caching:
session.type = file
session.data_dir = %(here)s/../../data/sessions/data
session.lock_dir = %(here)s/../../data/sessions/lock
# Session Options:
session.key = session_id
session.secure = false
session.timeout = 3600
session.cookie_expires = true
session.cookie_domain = .mydomain.local
session.httponly = true
# Encryption Options:
session.encrypt_key = c]?wvL",ni3J.)d8(e~z8b-9Le=Anh'.QMytBj^Kukfi<79C$Cg22)cX;__xs6?S
session.validate_key = \2R('?pL]\Z_8?(o`.?.?^.RF6t*5pCh6PH`~aon%H`PX$;E}"((mu-@(?G<=!:+
# pyramid_beaker specific option
session.cookie_on_exception = true

这是登录表单视图:

def login(self):

    message_html = _('view.login.welcome-message', default='Please log in.')
    login_url = self.request.route_url('login')
    login = ''
    password = ''
    referrer = self.request.url
    if referrer == login_url:
        referrer = self.request.route_url('home')
    came_from = self.request.POST.get('came_from', referrer)
    csrf_token = self.request.session.get_csrf_token()

    if 'form.submitted' in self.request.POST:
        login = self.request.POST.get('login')
        password = self.request.POST.get('password')
        if csrf_token == self.request.POST.get('csrf_token'):
            if login in USERS:
                manager = BCRYPTPasswordManager()
                if manager.check(USERS[login], password):
                    headers = remember(self.request, login)
                    return HTTPFound(location=came_from, headers=headers)

        message_html = _('view.login.failed-login-message', default='Login failed!')

    return {
        'message_html': message_html,
        'url': login_url,
        'login': login,
        'password': password,
        'came_from': came_from,
        'csrf_token': csrf_token,
    }

现在,当用户想要登录时,视图会呈现一个表单并生成一个cookie session_id。当用户提交有效表单时,将接受cookie的值以对用户进行身份验证。

在提交表单之前,没有什么可以阻止用户更改cookie的值。根据{{​​3}},这种行为显然是一个安全漏洞。

那么,如何使用pyramid_beaker让服务器在登录成功时生成一个新的session_id值而不是从cookie中获取一个值?

1 个答案:

答案 0 :(得分:1)

Pyramid的会话API提供了一种在升级权限时使会话无效的方法。您可以通过登录视图中的request.session.invalidate()执行此操作。 pyramid_beaker本身支持request.session.regenerate_id()来维护会话数据,但这不是Pyramid会话API的一部分,只有在使用pyramid_beaker时才有效。如果您担心用户猜测其他人的会话ID,则此处受到保护,因为如果您指定了烧杯的session.secret选项,则会对Cookie中存储的ID进行签名。

相关问题
最新问题