J'utilise le module authkit avec Pylons et je vois que le cookie de session qu'il définit (proprement nommé authkit) n'est pas défini comme étant HttpOnly.Comment rendre le cookie de session authkit HttpOnly en pylônes?
Existe-t-il un moyen simple de le rendre HttpOnly? (Par "simple" je veux dire celui qui n'implique pas le piratage du code d'authkit.)
Cela n'est pas documenté dans authkit, car il a seulement commencé à fonctionner en Python 2.6 (voir here), mais si vous avez Python 2.6 alors
authkit.cookie.params.httponly = true
dans la configuration devrait fonctionner et faire ce que vous désirez.
authkit utilise en interne un Cookie.SimpleCookie, et c'est ce qui limite les clés que vous pouvez avoir pour le authkit.cookie.params. - jusqu'à Python 2.5, ils ne sont que les clés prises en charge par la norme, RFC 2109, mais en Python 2.6 l'extension httponly utile a été ajouté - c'est ainsi que authkit a obtenu automatiquement le support pour cela ... parce que, tout à fait correctement, il ne fait pas ses propres contrôles mais délègue plutôt tous les contrôles à SimpleCookie. Si vous êtes coincé avec Python 2.5 ou plus tôt, alors faire ce travail nécessitera un peu plus d'effort (ne pas changer authkit, mais monkeypatching Cookie.py de Python, ou mieux, si possible, installer une version plus récente de Cookie .py à partir des sources Python 2.6 dans un répertoire situé plus tôt dans sys.path que dans le répertoire de la bibliothèque standard de Python).
Génial! J'ai un python2.6, donc le paramètre config a fait l'affaire. Je vous remercie! –