パイロンでauthkitセッションcookie HttpOnlyを作成する方法は?
質問
Pylonsでauthkitモジュールを使用していますが、それが設定するセッションcookie(authkitという名前)がHttpOnlyに設定されていないことがわかります。
HttpOnlyにする簡単な方法はありますか? (「シンプル」とは、authkitのコードのハッキングを伴わないものを意味します。)
解決
Python 2.6でのみ動作し始めたため、これはauthkitには文書化されていません(ここ)、ただしPython 2.6を使用している場合は
authkit.cookie.params.httponly = true
構成内で動作し、必要なことを実行する必要があります。
authkitは内部で Cookie.SimpleCookie
を使用します。これにより、 authkit.cookie.params。
のキーを制限できます-Python 2.5まで標準でサポートされているキーのみ RFC 2109 ですが、Python 2.6では< code> httponly 拡張機能が追加されました-これはauthkitが自動的にサポートを獲得した方法です...かなり適切に、独自のチェックを行わず、すべてのチェックを SimpleCookie
。
Python 2.5以前にこだわっている場合、この作業を行うにはもう少し手間がかかります(authkitを変更せず、PythonのCookie.pyを修正するか、可能であればCookieの新しいバージョンをインストールします)。 Python独自の標準ライブラリのディレクトリよりもsys.path内のディレクトリにあるPython 2.6ソースからのpy)。
所属していません StackOverflow