0

在收到安全报告后,我被要求提供一个安全会话 cookie。

我正在使用 pyramid_beaker.session_factory_from_settings() 并且很幸运(?)能够设置 httponly ('session.httponly', True),但('session.secure', True)不提供第二个选项。

有可能做到吗?

指向不同session.*设置的指针也非常受欢迎。

编辑:我在beaker.utils.coerce_session_params()

谢谢。

编辑:我想我有问题。我在开发中使用: 

        http_server = simple_server.make_server('0.0.0.0', no_port, app)
        http_server.serve_forever()
,所以没有发送 cookie,因为我不在 HTTPS 中。我需要为此设置一个 HTTPS 服务器。

4

1 回答 1

0

抱歉,这里有问题吗?听起来您回答了原来的问题,现在正在考虑让您的开发设置在 https 下工作?就我个人而言,我倾向于只在我的登台服务器(nginx 处理证书的地方)上担心这一点,但在我本地的 development.ini 中,我并没有使 cookie 安全。

于 2012-06-06T04:42:57.247 回答