et vaut-il la peine d'empêcher xss?Comment définir le cookie HttpOnly dans Django?
Répondre
SESSION_COOKIE_PATH = '/;HttpOnly'
Une discussion se trouve ici: http://groups.google.com/group/django-users/browse_thread/thread/bd7f562d5b938054/a229073ae836f4d2?lnk=raot&pli=1
Utilisez
SESSION_COOKIE_HTTPONLY = True
dans settings.py
Ceci ne fait pas partie de Django 1.2 (cela fonctionne dans la version dev de 1.3) – bsk
Il a été 'True' par défaut depuis 1.4. – gregoltsov
Documenté à l'adresse: https://docs.djangoproject.com/fr/1.11/ref/settings/#std:setting-SESSION_COOKIE_HTTPONLY –
- 1. C# Obtenir le cookie httponly
- 2. comment puis-je tester le cookie httpOnly cookie
- 3. Comment définir l'indicateur HttpOnly sur JSF/Richfaces
- 4. Support de cookie httponly dans Apache HttpClient
- 5. Définition de httponly dans le cookie JSESSIONID (Java EE 5)
- 6. Définition de HTTPONLY pour le cookie de session ASP classique
- 7. Comment définir le paramètre HttpOnly du cookie de session sur false?
- 8. Comment rendre le cookie de session authkit HttpOnly en pylônes?
- 9. httpOnly Session Cookie + Servlet 3.0 (par exemple Glassfish v3)
- 10. Comment définir un cookie dans le portlet Liferay?
- 11. Django Cookies, comment puis-je les définir?
- 12. Forcer les cookies HttpOnly avec JRun/ColdFusion
- 13. Comment supprimer les cookies HttpOnly?
- 14. Existe-t-il un moyen de vérifier si un cookie est httponly dans PHP
- 15. Définir le domaine sur le cookie de session ASP
- 16. Comment définir un cookie pour une requête web dans Silverlight
- 17. comment définir la date d'expiration sur un cookie dans cfscript
- 18. Comment définir django upload_handler dans admin?
- 19. Dans Django/python, comment définir le memcache à l'infini?
- 20. HttpOnly cookies sur google app engine java
- 21. Définir un cookie pour ne jamais expirer
- 22. Propriétés d'un cookie
- 23. Définir le cookie à partir de la demande HTTP
- 24. comment définir l'image statique django
- 25. Flash + pyAMF + cookie session Django sécurité
- 26. PHP: problème de cookie
- 27. Comment configurez-vous exactement les cookies httpOnly dans ASP Classic?
- 28. Ajoute la valeur du cookie à l'URL dans Django
- 29. valeur Cookie pour définir le style à la page charge
- 30. Définition du port de cookie
gee, qui était rapide, grâce –
J'ai essayé le javascript: alert (document .biscuit); commande après avoir fait les changements ci-dessus et je reçois toujours un cookie complet montré dans l'alerte. J'ai redémarré Apache et tronqué la table django_session. Aucune différence. Est-ce que je fais quelque chose de mal? – Rok
@Rok: Vous êtes-vous déconnecté et/ou effacé le cookie de session existant? –