Django CSRF-Cookie HttpOnly

8

Ist es möglich, das django csrf-Cookie als http-only zu setzen? Genauso wie SESSION_COOKIE_HTTPONLY mit Session-Cookie, aber für die csrf one?

    
Mark 02.06.2012, 11:01
quelle

3 Antworten

18

Eine neue Einstellung, CSRF_COOKIE_HTTPONLY , ist in Django verfügbar 1.6 +.

    
knite 27.08.2013, 02:50
quelle
11

Überprüfen Sie für Django1.6 + die akzeptierte Antwort. Für Django1.5 und prev gibt es keine Einstellungsoption dafür.

Sie können die Methode process_response() von django.middleware.csrf.CsrfViewMiddleware außer Kraft setzen und die angepasste Methode anstelle von CsrfViewMiddleware in MIDDLEWARE_CLASSES

verwenden %Vor%

Oder in einer anderen Middleware, die nach CsrfViewMiddleware in response

aufgerufen wird %Vor%     
okm 02.06.2012 11:22
quelle
0

Du könntest deine Django-Dateien sogar selbst patchen, um die Funktionalität in späteren Versionen nachzuahmen, wenn du unter Version 1.6 hast.

Der Patch ist ziemlich einfach und die modifizierten Dateien sind hier sichtbar:

Ссылка

Bilder, die die Änderungen zeigen, werden bereitgestellt, falls github verschwindet.

Hier ist der Rest dieser Seite.

Sie müssen sich keine Sorgen darüber machen, dass diese durch ein Upgrade überschrieben werden, da das Upgrade diese Zeilen selbst enthält.

    
Kyle Baker 27.01.2016 23:12
quelle

Tags und Links

Django: Verwenden von Annotate, Count und Distinct in einem Queryset 301 Weiterleitung in asp.net 4.0