在安全报告之后,我被要求提供一个安全的会话cookie。
我正在使用 pyramid_beaker.session_factory_from_settings() 并且很幸运(?) 能够使用 ('session.httponly', True) 设置 httponly,但('session.secure', True)不提供第二个选项。
有可能做到吗?
指向不同session.*设置的指针也非常感谢。
编辑:我在beaker.utils.coerce_session_params()中找到了一个列表
谢谢。
编辑:我想我遇到了问题。我在开发中使用:
http_server = simple_server.make_server('0.0.0.0', no_port, app)
http_server.serve_forever()抱歉,这里有问题吗?听起来您回答了原始问题,现在正在考虑使您的开发设置在 https 下工作?就我个人而言,我倾向于只在我的登台服务器(nginx 处理证书的地方)上担心这一点,但在我的开发中.ini在本地我不使 cookie 安全。