2

Pylons で authkit モジュールを使用していますが、それが設定するセッション Cookie (適切な名前の authkit) が HttpOnly に設定されていません。

HttpOnlyにする簡単な方法はありますか? (「単純」とは、authkit のコードをハッキングする必要のないものを意味します。)

4

1 に答える 1

2

これは、Python 2.6 でのみ機能し始めたため (こちらを参照)、authkit には記載されていませんが、Python 2.6 を使用している場合は、

authkit.cookie.params.httponly = true

設定で動作し、あなたが望むことをするはずです。

authkit は内部的に を使用しておりCookie.SimpleCookie、これが に使用できるキーを制限するものですauthkit.cookie.params.-- Python 2.5 までは、標準のRFC 2109でサポートされているキーのみでしたが、Python 2.6 では便利なhttponly拡張機能が追加されました -- これが authkit の方法ですは自動的にサポートを獲得しました...これは、独自のチェックを行うのではなく、すべてのチェックを に委譲するためSimpleCookieです。

Python 2.5 以前に行き詰まっている場合、これを機能させるにはもう少し努力が必要です (authkit を変更するのではなく、Python の Cookie.py にモンキーパッチを適用するか、可能であれば、新しいバージョンの Cookie.py をPython 2.6 ソースは、Python 独自の標準ライブラリのディレクトリよりも前の sys.path にあるディレクトリにあります)。

于 2009-08-03T04:24:55.520 に答える