【发布时间】:2009-08-03 12:24:55
【问题描述】:
我将 authkit 模块与 Pylons 一起使用,我看到它设置的会话 cookie(恰当地命名为 authkit)未设置为 HttpOnly。
有没有简单的方法让它成为 HttpOnly? (我所说的“简单”是指不涉及破解 authkit 代码的那个。)
【问题讨论】:
标签: python cookies pylons authkit
【发布时间】:2009-08-03 12:24:55
【问题描述】:
这在 authkit 中没有记录,因为它只在 Python 2.6 中开始工作(请参阅here),但如果您确实有 Python 2.6 则
authkit.cookie.params.httponly = true
在配置中应该可以工作并做你想做的事。
authkit 内部使用Cookie.SimpleCookie,这限制了authkit.cookie.params. 的密钥——直到Python 2.5,它们只是标准RFC 2109 支持的密钥,但在Python 2.6 中添加了有用的httponly 扩展——这就是 authkit 自动获得对它的支持的方式......因为,非常恰当地,它不进行自己的检查,而是将所有检查委托给 SimpleCookie。
如果您坚持使用 Python 2.5 或更早版本,那么要完成这项工作将需要更多的努力(不是更改 authkit,而是猴子修补 Python 的 Cookie.py,或者如果可行,安装更新版本的 Cookie.py 更好。 py 来自 Python 2.6 源代码的目录中的 sys.path 比 Python 自己的标准库的目录更早)。
【讨论】:
-
太棒了!我确实有一个python2.6,所以配置参数就可以了。谢谢!