Question

这是我设置使用auth

的webapp2标记的方式

'webapp2_extras.auth': {
    'cookie_name': 'auth',
    'token_max_age': 24 * 60 * 60,
    'user_attributes': []
},

我已经检查了文档，但我没有提到设置此cookie的其他属性。我想确保此Cookie是“HTTPOnly＆＃39;

”

如何通过webapp2配置或任何其他方式设置HTTPOnly？

Answer 1

可以在webapp2_extras.sessions中配置：

'webapp2_extras.auth': {
  ...
},
'webapp2_extras.sessions': {
   'cookie_args': {
     'httponly': True,
   },
}

Answer 2

如果您查看＆＃39; webapp2_extras.auth＆＃39;的来源，您会发现它没有实现与＆＃39; webapp2_extras.sessions相同的会话参数选项＆＃39 ;.但它确实取决于＆＃39; webapp2_extras.sessions＆＃39;，并设置了＆＃39; max_age＆＃39;明确的会话参数（行号不存在）：

def set_session(self, user, token=None, token_ts=None, cache_ts=None,
                remember=False, **session_args):
    # ...
    session_args.setdefault('max_age', max_age)
    # Create a new dict or just update user?
    # ...

大概你可以修改webapp2源来在这里添加这个额外的会话参数，但是我不能评论这样做的任何不利影响。

如何将HTTPONLY设置为webapp2 auth模块生成的auth cookie？

2 个答案: