pyramid_beaker httponly и secure cookie

После отчета о безопасности меня попросили предоставить безопасный сеансовый файл cookie.pyramid_beaker httponly и secure cookie

Я использую pyramid_beaker.session_factory_from_settings() и повезло (?), Чтобы установить httponly с помощью ('session.httponly', True), но ('session.secure', True) не предоставляет второй вариант.

Возможно ли это?

Указатели на разные session.* Настройки также оценили также.

EDIT: Я нашел список в beaker.utils.coerce_session_params()

Спасибо.

EDIT: Я думаю, что у меня возникла проблема. Я использую в разработке:

 http_server = simple_server.make_server('0.0.0.0', no_port, app) 
     http_server.serve_forever()

, поэтому cookie не отправляется, потому что я не в HTTPS. Для этого мне нужно настроить HTTP-сервер.

источник

2012-06-06 Danosaure

Извините, вопрос есть здесь? Похоже, вы ответили на оригинал и теперь смотрите на то, чтобы ваша работа по настройке работала под https? Лично я склонен беспокоиться об этом только на моем промежуточном сервере (где nginx обрабатывает сертификаты), но в моем development.ini локально я не делаю файлы cookie безопасными.

источник

2012-06-06 04:42:57

Да, я понял, почему «безопасный» файл cookie не работает. Я не использовал установку развертывания, но только один dev, который не является HTTPS, но я сделал настройку, и она работает. Было нелегко найти, какие переменные 'session. *' Могли бы быть, это была моя главная проблема. Я закончил копаться в исходном коде. – Danosaure

ответ

Смежные вопросы