request.response.set_cookie(..)
と を使用する場合と比較して、Cookie を設定するために暗号化されていないセッション ファクトリを設定する場合の違いがわかりませんrequest.cookies[key]
。
質問する
445 次
1 に答える
7
は、署名された1 つのCookieをUnencryptedCookieSessionFactory
管理します。これは、クライアントが Cookie の内容を読み取ることはできますが、Cookie の値を変更できないことを意味します。
を使用して直接 Cookie を設定するresponse.set_cookie()
と、クライアントは Cookie を読み取るだけでなく、Cookie の値を変更できるため、コンテンツが改ざんされたことを検出できなくなります。
さらに、UnencryptedCookieSessionFactory
任意の Python 構造を保存すると、Cookie の制限内に収まるようにこれらをエンコードします。で同じ作業を手動で行う必要があり.set_cookie()
ます。
1 Cookie を base64 でデコードしてから、pickle
モジュールを使用してコンテンツをデコードする必要があります。Cookie は暗号で署名されているため、適用される通常のセキュリティ上の懸念pickle
が軽減されます。
于 2013-01-26T17:15:28.793 に答える