如何在pylons中制作authkit session cookie HttpOnly？

Question

我将authkit模块与Pylons一起使用，我发现它设置的会话cookie (恰如其分地命名为authkit)没有被设置为HttpOnly。

有没有简单的方法让它成为HttpOnly？(我所说的“简单”是指不涉及对authkit的代码进行黑客攻击的那个。)

Answer 1

authkit中没有记录这一点，因为它只在Python2.6中开始工作(请参阅here)，但是如果你有Python2.6，那么

authkit.cookie.params.httponly = true

在配置中应该工作，并做您想要做的事情。

authkit在内部使用Cookie.SimpleCookie，这限制了您可以拥有的authkit.cookie.params.的密钥--在Python2.5之前，它们只是标准RFC 2109支持的密钥，但在Python2.6中添加了有用的httponly扩展--这就是authkit如何自动获得对它的支持……因为，它并不做自己的检查，而是将所有检查委托给SimpleCookie。

如果你坚持使用Python2.5或更早的版本，那么完成这项工作将需要更多的工作(不是更改authkit，而是简单地匹配Python2.6的Cookie.py，如果可行的话，最好从Python2.6源代码中安装一个更新版本的Cookie.py，该目录位于sys.path中比Python自己的标准库所在的目录更早的目录中)。