pyramid_beaker httponly和安全cookie

Question

在完成安全报告之后，有人要求我提供一个安全会话cookie。

我正在使用pyramid_beaker.session_factory_from_settings()，很幸运(？)为了能够使用('session.httponly', True)设置httponly，但是('session.secure', True)没有提供第二个选项。

有可能做到吗？

指向不同session.*设置的指针也很受欢迎。

编辑:我在beaker.utils.coerce_session_params()中找到了一个列表

谢谢。

编辑:我想我有问题了。我正在开发中使用：

        http_server = simple_server.make_server('0.0.0.0', no_port, app)
        http_server.serve_forever()

，所以cookie没有发送，因为我不在HTTPS。我需要为此设置一个HTTPs服务器。

​

Answer 1

对不起，这里有问题吗？听起来您回答了原来的问题，现在正在考虑如何使您的开发设置在https下工作？就我个人而言，我倾向于只在我的暂存服务器( nginx处理证书)上担心这个问题，但是在本地的development.ini中，我并不保证cookie的安全性。