Как установить HTTPONLY в файл cookie, сгенерированный модулем webapp2 auth?

Question

Это, как я настраивал использовать auth маркер webapp2

'webapp2_extras.auth': { 
    'cookie_name': 'auth', 
    'token_max_age': 24 * 60 * 60, 
    'user_attributes': [] 
}, 

Я проверил документацию, но я не нашел никакого упоминания о настройке других атрибутов этого печенья. Я хотел бы убедиться, что этот файл cookie «HTTPOnly»

Как установить HTTPOnly через конфигурацию webapp2 или любым другим способом?

Answer 1

Если вы посмотрите на источник для 'webapp2_extras.auth', вы увидите, что он не реализует те же параметры аргумента сеанса, что и 'webapp2_extras.sessions'. Однако это не зависит от «webapp2_extras.sessions», и не установить «max_age» сеанса аргумент явно (номера строк нет):

def set_session(self, user, token=None, token_ts=None, cache_ts=None, 
       remember=False, **session_args): 
    # ... 
    session_args.setdefault('max_age', max_age) 
    # Create a new dict or just update user? 
    # ... 

Предположительно можно изменить источник webapp2, чтобы добавить этот дополнительный аргумент сессионный здесь, однако я не могу комментировать любые неблагоприятные последствия от этого.

Answer 2

Он может быть сконфигурирован в webapp2_extras.sessions:

'webapp2_extras.auth': { 
    ... 
}, 
'webapp2_extras.sessions': { 
    'cookie_args': { 
    'httponly': True, 
    }, 
}