Bri*_*lli 5 security django cookies
我有一个django应用程序.该应用程序有2个主要的cookie从服务器返回(csrftoken和sessionid).我将settings.py文件中的SESSION_COOKIE_SECURE和CSRF_COOKIE_SECURE标志设置为True,如果我检查登录到我的应用程序的初始请求,我看到这两个cookie都在服务器的响应中设置了"安全"标志.
当我在我的应用程序中检查cookie时,我注意到有"请求cookie"和"响应cookie"."响应cookie"是设置了标志的那些.请求cookie没有.
我的问题:是否有某种方法可以强制"请求cookie"设置其安全标志?这甚至是安全问题吗?我的应用程序流量超过https,因此浏览器和服务器之间的所有连接都已经加密了......
它并没有真正以这种方式工作......标志仅存在于Set-Cookie标头(响应)中。
当客户端(浏览器)接收到一个Set-Cookie标头时,它会将这些标志与 cookie 值一起存储,但仅用于它自己的使用(以便浏览器本身可以在必要时知道何时何地发送 cookie 值)。
的Cookie标题(请求)不能包含标志; 它只是一个<cookie-name>=<cookie-value>对列表,当您(服务器)收到它们时,您甚至不能保证自己设置了它们。
这是因为同一域名下的任何应用程序都可以为该域设置 cookie。例如,在example.com/foo 上运行的应用程序将能够为example.com/bar甚至another.example.com设置 cookie 。
但是,排除真正可怕的浏览器错误的可能性,您可以确定,如果您在响应中为 cookie 设置“安全”标志,接收浏览器将不会通过非加密连接发送它。
它并不是真正 100% 保证,但它确实是您拥有的唯一选择,并且几乎整个网络都依赖于浏览器的正常运行,因此您并不孤单。
可悲的是,这就是 cookie 的工作方式。如果您有兴趣了解有关它们的更多信息,请在此处阅读它们的官方标准。
| 归档时间: |
|
| 查看次数: |
3197 次 |
| 最近记录: |