0

セキュリティ レポートの後、安全なセッション Cookie を提供するよう求められました。

私は pyramid_beaker.session_factory_from_settings() を使用しており、 httponly を で設定できるのは幸運 (?)でしたが、2 番目のオプションは提供して('session.httponly', True)('session.secure', True)ません。

それは可能ですか?

session.*さまざまな設定へのポインタも高く評価されています。

編集:リストを見つけましたbeaker.utils.coerce_session_params()

ありがとう。

編集:問題があると思います。私は開発で使用しています: 

        http_server = simple_server.make_server('0.0.0.0', no_port, app)
        http_server.serve_forever()
、HTTPS ではないため、Cookie は送信されません。これには HTTPS サーバーをセットアップする必要があります。

4

1 に答える 1

0

すみません、ここで質問はありますか?元の質問に答えたようで、現在、開発セットアップを https で機能させることを検討していますか? 個人的には、ステージング サーバー (nginx が証明書を処理する場所) でのみ心配する傾向がありますが、ローカルの development.ini では Cookie を安全にしていません。

于 2012-06-06T04:42:57.247 に答える