Como fazer cookie de sessão do AuthKit httponly em pylons?
https://stackoverflow.com/questions/1220555
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu uso o módulo AuthKit com pilões e vejo que o cookie de sessão que ele está definido (apropriadamente chamado AuthKit) não está definido como httponly.
Existe uma maneira simples de torná -lo httponly? (Por "simples", quero dizer aquele que não envolve o código do Authkit de hackers.)
Solução
Isso não está documentado no AuthKit, porque só começou a trabalhar no Python 2.6 (ver aqui), mas se você tem Python 2.6, então
authkit.cookie.params.httponly = true
Na configuração, deve funcionar e fazer o que você deseja.
Authkit usa internamente um Cookie.SimpleCookie, e é isso que limita as chaves que você pode ter para o authkit.cookie.params. - Até o Python 2.5, eles eram apenas as chaves suportadas pelo padrão, RFC 2109, mas em python 2.6 o útil httponly A extensão foi adicionada - e é assim que o AuthKit ganhou suporte automaticamente ... porque, bem corretamente, não faz suas próprias verificações, mas delega todas as verificações para SimpleCookie.
Se você estiver preso ao Python 2.5 ou anterior, para fazer esse trabalho exigirá um pouco mais de esforço (não mudando o authkit, mas o Monkeypatching Python's Cookie.py, ou melhor, se viável, instalando uma versão mais recente do Cookie.py do Fontes do Python 2.6 em um diretório que está anteriormente no sys.path do que no diretório da própria biblioteca padrão do Python).
