BSI 发布了各种 CMS 系统的安全分析。Plone 非常成功,但在 OOTB 安全功能方面却获得了负面评价。
即,默认情况下没有 HTTPS,也没有用于身份验证 OOTB 的安全 cookie。如何更改为安全 cookie。
问问题
185 次
2 回答
3
是的,可以这样做:
鉴于通过 HTTPS 使用 Plone 的先决条件,以下额外设置可用于 cookie:“HttpOnly”和“Secure”。最简单且影响最小的方法是使用 Apache mod_headers 模块,带有“编辑”操作(可从 Apache 2.2.4 获得):
标头编辑 Set-Cookie ^(.*)$ $1;Secure;HttpOnly
(来源: http: //plone.org/documentation/kb/securing-plone)
于 2013-06-19T14:13:46.757 回答
0
BSI 应该更新。Plone 始终提供保护 cookie OOTB 的能力。请参阅如何为 Plones `__ac` cookie 设置 `secure` 和 `httpOnly`?方向。
于 2015-05-23T11:00:48.083 回答