我安装了Plone 4.3.2(Zope 2.13.21)。如文档(http://plone.org/documentation/kb/securing-plone)中所述,Cookie应为secure,httpOnly为Zope 2.12或更高版本。
另请注意,建议的补丁已包含在Zope 2.12.0中 b1,所以将使用Zope 2.12或更高版本的Plone 4将不具备此功能 问题
但如果我以admin(或zope-root定义的其他用户)身份登录,__ac cookie不是secure而不是httpOnly。如果我以在网站中创建的用户身份登录,一切都很好。有没有办法改变这个?
答案 0 :(得分:0)
首先,在Plone中设置cookie设置:
然后,对于root登录,它取决于您登录的位置。
Zope root没有实现cookie插件,它只使用基本身份验证登录。 IMO,如果没有先通过隧道或使用VPN进入它,你就不应该有zope root。
最后,您可以从您的plone站点禁用credentials_basic_auth插件。