Pylons で authkit モジュールを使用していますが、それが設定するセッション Cookie (適切な名前の authkit) が HttpOnly に設定されていません。
HttpOnlyにする簡単な方法はありますか? (「単純」とは、authkit のコードをハッキングする必要のないものを意味します。)
これは、Python 2.6 でのみ機能し始めたため (こちらを参照)、authkit には記載されていませんが、Python 2.6 を使用している場合は、
authkit.cookie.params.httponly = true
設定で動作し、あなたが望むことをするはずです。
authkit は内部的に を使用しておりCookie.SimpleCookie
、これが に使用できるキーを制限するものですauthkit.cookie.params.
-- Python 2.5 までは、標準のRFC 2109でサポートされているキーのみでしたが、Python 2.6 では便利なhttponly
拡張機能が追加されました -- これが authkit の方法ですは自動的にサポートを獲得しました...これは、独自のチェックを行うのではなく、すべてのチェックを に委譲するためSimpleCookie
です。
Python 2.5 以前に行き詰まっている場合、これを機能させるにはもう少し努力が必要です (authkit を変更するのではなく、Python の Cookie.py にモンキーパッチを適用するか、可能であれば、新しいバージョンの Cookie.py をPython 2.6 ソースは、Python 独自の標準ライブラリのディレクトリよりも前の sys.path にあるディレクトリにあります)。