Come rendere cookie di sessione di authkit HttpOnly in tralicci?
Domanda
Uso il modulo authkit con Pylons e vedo che il cookie di sessione che imposta (appropriatamente chiamato authkit) non è impostato su HttpOnly.
Esiste un modo semplice per renderlo HttpOnly? (Per "semplice" intendo quello che non implica l'hacking del codice di authkit.)
Soluzione
Questo non è documentato in authkit, perché ha iniziato a funzionare solo in Python 2.6 (vedi qui ), ma se hai Python 2.6 allora
authkit.cookie.params.httponly = true
nella configurazione dovrebbe funzionare e fare ciò che desideri.
authkit utilizza internamente un Cookie.SimpleCookie
, ed è ciò che limita le chiavi che puoi avere per authkit.cookie.params.
- fino a Python 2.5 erano solo le chiavi supportate dallo standard, RFC 2109 , ma in Python 2.6 l'utile < È stata aggiunta l'estensione code> httponly , che è il modo in cui authkit ha ottenuto il supporto automaticamente per esso ... perché, abbastanza correttamente, non esegue i propri controlli ma piuttosto delega tutti i controlli a SimpleCookie
.
Se sei bloccato con Python 2.5 o precedente, quindi per fare questo lavoro richiederà un po 'più di sforzo (non cambiando authkit, ma monkeypatching Python's Cookie.py, o meglio, se possibile, installando una versione più recente di Cookie. py dalle fonti Python 2.6 in una directory precedente a sys.path rispetto alla directory per la libreria standard di Python).