2

request.response.set_cookie(..)と を使用する場合と比較して、Cookie を設定するために暗号化されていないセッション ファクトリを設定する場合の違いがわかりませんrequest.cookies[key]

4

1 に答える 1

7

は、署名された1 つのCookieをUnencryptedCookieSessionFactory管理します。これは、クライアントが Cookie の内容を読み取ることはできます、Cookie の値を変更できないことを意味します。

を使用して直接 Cookie を設定するresponse.set_cookie()と、クライアントは Cookie を読み取るだけでなく、Cookie の値を変更できるため、コンテンツが改ざんされたことを検出できなくなります。

さらに、UnencryptedCookieSessionFactory任意の Python 構造を保存すると、Cookie の制限内に収まるようにこれらをエンコードします。で同じ作業を手動で行う必要があり.set_cookie()ます。

1 Cookie を base64 でデコードしてから、pickleモジュールを使用してコンテンツをデコードする必要があります。Cookie は暗号で署名されているため、適用される通常のセキュリティ上の懸念pickleが軽減されます。

于 2013-01-26T17:15:28.793 に答える