4

考虑下面的脚本。它将启动两个子进程,每个子进程都是 CherryPy 应用程序(按 Ctrl+C 或系统上的任何 KeyboardInterrupt 组合以结束它们)。如果您使用 CP 3.0 运行它(注意更改“StartServer”中的 3.0/3.1 特定行),请访问:

http://localhost:15002/

...你看到一个空的字典。然后访问:

http://localhost:15002/set?val=10

http://localhost:15002/

...您会看到新填充的字典。然后访问:

http://localhost:15012/

...然后回到

http://localhost:15002/

……什么都没有改变。

如果您在 CP 3.1 上尝试相同的操作(请记住“StartServer”中的行!),当您到达最后一步时,dict 现在是空的。这发生在 Windows 和 Debian、Python 2.5 和 2.6 中。

您可以尝试各种各样的事情:更改为文件存储、分离存储路径……唯一的区别是会话可能会被合并而不是被删除。我也阅读了另一篇关于此的文章,并且建议将会话工具配置键放在应用程序配置而不是全局配置中,但我认为这与应用程序独立运行的这种用法无关。

我该怎么做才能让独立的 CherryPy 应用程序不相互干扰?

注意:我最初在CherryPy 邮件列表上提出了这个问题,但还没有得到回复,所以我在这里尝试。我希望没关系。

import os, os.path, socket, sys
import subprocess
import cgi

import cherrypy

HTTP_PORT = 15002
HTTP_HOST = "127.0.0.1"

site1conf = {
    'global' : {
        'server.socket_host' : HTTP_HOST,
        'server.socket_port' : HTTP_PORT,
        'tools.sessions.on' : True,
#        'tools.sessions.storage_type': 'file',
#        'tools.sessions.storage_path': '1',
#        'tools.sessions.storage_path': '.',
        'tools.sessions.timeout' : 1440}}

site2conf = {
    'global' : {
        'server.socket_host' : HTTP_HOST,
        'server.socket_port' : HTTP_PORT + 10,
        'tools.sessions.on' : True,
#        'tools.sessions.storage_type': 'file',
#        'tools.sessions.storage_path': '2',
#        'tools.sessions.storage_path': '.',
        'tools.sessions.timeout' : 1440}}


class Home(object) :

    def __init__(self, key):
        self.key = key

    @cherrypy.expose
    def index(self):
        return """\
<html>
<body>Session:
<br>%s
</body>
</html> """ % cgi.escape(str(dict(cherrypy.session)))

    @cherrypy.expose
    def set(self, val):
        cherrypy.session[self.key.upper()] = val
        return """\
<html>
<body>Set %s to %s</body>
</html>""" % (cgi.escape(self.key), cgi.escape(val))

def StartServer(conf, key):
    cherrypy.config.update(conf)

    print 'Starting server (%s)' % key
    cherrypy.tree.mount(Home(key), '/', {})

    # Start the web server.
    #### 3.0
    # cherrypy.server.quickstart()
    # cherrypy.engine.start()
    ####

    #### 3.1
    cherrypy.engine.start()
    cherrypy.engine.block()
    ####

def Main():
    # Start first webserver
    proc1 = subprocess.Popen(
        [sys.executable, os.path.abspath(__file__), "1"])
    proc2 = subprocess.Popen(
        [sys.executable, os.path.abspath(__file__), "2"])

    proc1.wait()
    proc2.wait()

if __name__ == "__main__":

    print sys.argv

    if len(sys.argv) == 1:
        # Master process
        Main()
    elif(int(sys.argv[1]) == 1):
        StartServer(site1conf, 'magic')
    elif(int(sys.argv[1]) == 2):
        StartServer(site2conf, 'science')
    else:
        sys.exit(1)
4

2 回答 2

3

存储会话标识符的 cookie 绑定到主机,而不是主机+端口。当您访问第一个站点时,您会在 3.1(但不是 3.0)中获得新的会话 ID ,然后您填写会话数据并可以看到它。之后,您使用此会话 id 转到其他端口,但现在它无效(我相信您可以在调试模式下的日志中看到这一点)。因此服务器会向您发送新的会话 ID。现在您返回第一台服务器,您的标识符再次无效,因此您获得了新的。当然,这个新标识符的会话中没有数据。

更新:RFC 2109,第 4.3.1 节解释 Set-Cookie 说:

用户代理单独跟踪通过 Set-Cookie 响应标头从每个源服务器到达的状态信息(按名称或 IP 地址和端口区分)。

但对标准的解释并不那么明显。这是Firefox 跟踪器中相关票证的引用:

cookie 有两个 RFC,2109(对于 set-cookie)和 2965(对于 set-cookie2)

在 RFC 2109 的第 4.3.1 节解释 Set-Cookie 中指出
“域默认为请求主机。”在第 2 节术语中它指出“术语请求主机和请求 URI 指的是客户端将发送到服务器的值,分别是主机(但不是端口)和HTTP 请求行的 absoluteURI (http_URL) 的 abs_path 部分。请注意,request-host 必须是 FQHN。在 RFC 2965 的第 3.3.1 节解释 Set-Cookie2 中,它声明“域默认为有效的请求主机。”它还声明“端口默认行为是 cookie 可以返回到任何请求端口。”并且在第1 TERMINOLOGY 它指出“术语 request-host 和 request-URI 指的是客户端将分别发送到服务器的值,HTTP 请求行的 absoluteURI (http_URL) 的主机(但不是端口)和 abs_path 部分。"(就像 RFC 2109)

我对这些的解释是,除非 set-cookie2 标头明确定义了端口号,否则不应使用端口号来记录 cookie 域。

于 2010-04-12T10:53:49.103 回答
1

TL;DR:将 CherryPy 配置参数更改tools.sessions.name为每个应用程序独有的参数。

长答案

我知道这是一个非常古老的问题,但我认为有一个非常简单的答案。为了将来的搜索者的利益而写在下面。

CherryPy 使用 cookie 来查找会话。默认情况下,这称为“session_id”,并有一个随机的十六进制字符串作为其值。如果给 CherryPy 一个它无法识别的 session_id,它会生成一个新的 session_id。这是防止会话固定的措施。

当您在同一个域上有两个应用程序时。他们都使用相同的 cookie 名称(即“session_id”),但都不识别另一个的 session_id,因此他们用一个新的覆盖它。因此,从一个应用程序移动到另一个应用程序会使会话无效。

解决方案很简单:在 CherryPy 配置中,您可以通过设置tools.sessions.name为“session_id”以外的名称来覆盖 session_id 名称,例如“myapp_session_id”和“myotherapp_session_id”。

您需要确保会话存储是独立的,因为您已正确识别。

在上面的示例中,您将执行以下操作:

site1conf = {
    'global': {
        'server.socket_host': HTTP_HOST,
        'server.socket_port': HTTP_PORT,
        'tools.sessions.on': True,
        'tools.sessions.storage_type': 'file',
        'tools.sessions.storage_path': '/tmp/site1_sessions/',
        'tools.sessions.name': 'site1_session_id',
        'tools.sessions.timeout': 1440
    }
}
site2conf = {
    'global': {
        'server.socket_host': HTTP_HOST,
        'server.socket_port': HTTP_PORT + 10,
        'tools.sessions.on': True,
        'tools.sessions.storage_type': 'file',
        'tools.sessions.storage_path': '/tmp/site2_sessions/',
        'tools.sessions.name': 'site2_session_id',
        'tools.sessions.timeout': 1440
    }
}

注意:在我自己使用 CherryPy 10.0.0 的应用程序中,我在应用程序级别和路径级别使用了此配置选项。我还没有用旧版本的 CherryPy 对此进行过测试,但看看源代码,它看起来已经有十多年的可能了。

自从写这篇文章以来,我已经对 CherryPy 的文档进行了更新,包括在这里:http ://docs.cherrypy.org/en/latest/pkg/cherrypy.lib.html#session-fixation-protection

于 2017-07-12T19:18:51.683 回答