我在我的网站上进行了Pentest-Tools安全审核,并收到警告,提示“ django_language”缺少标志“ Secure,HttpOnly”。我什至不确定该Cookie是什么或它的设置位置,但想清除这些错误。
我在settings.py文件中设置了以下内容,但没有任何作用
SESSION_COOKIE_SECURE = True
CSRF_COOKIE_SECURE = True
是否可以在Django项目中进行设置?
答案 0 :(得分:1)
您的警告要求禁止javascript访问CSRF cookie(客户端)。
CSRF_COOKIE_HTTPONLY = True
默认情况下为false。结帐https://docs.djangoproject.com/en/1.11/ref/settings/#csrf-cookie-httponly了解更多信息。