如何在Django中设置HttpOnly cookie?

时间:2010-08-20 09:35:30

标签: django xss session-cookies

是否值得努力防止xss?

3 个答案:

答案 0 :(得分:29)

使用

SESSION_COOKIE_HTTPONLY = True
在settings.py

答案 1 :(得分:5)

SESSION_COOKIE_PATH = '/;HttpOnly'

可以在此处找到讨论:http://groups.google.com/group/django-users/browse_thread/thread/bd7f562d5b938054/a229073ae836f4d2?lnk=raot&pli=1

答案 2 :(得分:2)

在Django 3.0中,您可以在settings.py中将以下cookie设置为True:

对于实例,如果

SESSION_COOKIE_HTTPONLY = True

然后,您的客户端JavaScript将无法访问会话cookie。

相关问题
最新问题