14

如何在 Django 中设置 HttpOnly cookie?

是否值得努力防止 XSS?

4

3 回答 3

32

利用

SESSION_COOKIE_HTTPONLY = True

在 settings.py

于 2011-01-19T15:52:52.970 回答
6 
SESSION_COOKIE_PATH = '/;HttpOnly'

可以在这里找到讨论:http ://groups.google.com/group/django-users/browse_thread/thread/bd7f562d5b938054/a229073ae836f4d2?lnk=raot&pli=1

于 2010-08-20T09:38:28.230 回答
5

在 Django 3.0 中,您可以在 settings.py 中将以下 cookie 设置为 True:

例如,如果

SESSION_COOKIE_HTTPONLY = True

然后您的客户端 JavaScript 将无法访问会话 cookie。

于 2020-04-04T11:23:25.657 回答