3

に次のコードを設定しましたsettings.py

SESSION_COOKIE_HTTPONLY = True

ドキュメントはこれがデフォルトだと言っていますが。

次に./manage.py runserver、サイトで OWASP Zap スキャナーを使用して実行します。しかし、OWASP zap は、Cookie が HttpOnly フラグなしで設定されたことを示しています。

ここに画像の説明を入力

と を使用してサイトをサーバーするときにも、この問題が発生しgunicornますnginx。このフラグを設定するにはどうすればよいですか?

を使用してdjango 1.8; 該当する場合、ページaccounts/loginは によって管理されdjango-registration-reduxています。

4

1 に答える 1

6

スクリーンショットで強調表示されている Cookie は、セッション Cookie ではなく、csrf Cookie です。CSRF_COOKIE_HTTPONLYこの Cookie には別の設定があります。とは異なりSESSION_COOKIE_HTTPONLYCSRF_COOKIE_HTTPONLYデフォルトはFalseであるため、設定に追加する必要があります。

CSRF_COOKIE_HTTPONLY = True

csrf Cookie を http のみに設定すると、ajax ポスト リクエストを実行するのが難しくなることに注意してください。Cookie を使用する代わりに、JavaScript でページから csrf トークンを取得する必要があります。

于 2015-08-13T16:13:55.610 に答える