django-会话 cookie 中缺少HttpOnly 属性-安全加强

最新推荐文章于 2023-06-25 23:40:54 发布
最新推荐文章于 2023-06-25 23:40:54 发布
阅读量821 收藏
点赞数
文章标签: python javascript ViewUI
原文链接:http://www.cnblogs.com/aguncn/p/10640588.html
版权

如果django程序扫描到会话 cookie 中缺少 HttpOnly 属性问题,需要如何进行安全加强?

https://docs.djangoproject.com/en/2.2/ref/settings/#std:setting-CSRF_COOKIE_HTTPONLY

参考官方文档.

CSRF_COOKIE_HTTPONLY

Default: False

Whether to use HttpOnly flag on the CSRF cookie. If this is set to True, client-side JavaScript will not to be able to access the CSRF cookie.

Designating the CSRF cookie as HttpOnly doesn’t offer any practical protection because CSRF is only to protect against cross-domain attacks. If an attacker can read the cookie via JavaScript, they’re already on the same domain as far as the browser knows, so they can do anything they like anyway. (XSS is a much bigger hole than CSRF.)

Although the setting offers little practical benefit, it’s sometimes required by security auditors.

If you enable this and need to send the value of the CSRF token with an AJAX request, your JavaScript must pull the value from a hidden CSRF token form input instead of from the cookie.

See SESSION_COOKIE_HTTPONLY for details on HttpOnly.

 

在settings.py里,设置 CSRF_COOKIE_HTTPONLY = True即可。

 

转载于:https://www.cnblogs.com/aguncn/p/10640588.html

weixin_30457065
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
检测到会话cookie缺少HttpOnly属性
lxyoucan的博客
07-15 1406
绿盟科技"远程安全评估系统"安全评估报告,这里记录一下处理过程。
Django检测到会话cookie缺少HttpOnly属性手工复现
最新发布
骑上单车去旅行的博客
04-03 1082
会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。第一步:复制URL:http:192.168.43.219在浏览器打开,使用F12调试工具;第二步:选择Application,点击Cookies查看csrftoken的Value信息;第三步:选择Console,输入命令alert(document.cookie);
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 1949
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
IIS - 会话cookie缺少HttpOnly属性
热门推荐
简单记录一下。
09-09 20万+
不啰嗦,我们直接开始! 先进行常规设置 打开配置编辑器 选节点,将httpOnlyCookies设置为true 然后。。。不起作用。。。 换种方式 通过配置出站规则getcookie添加HttpOnly 在Web.config添加如下出站规则 <rewrite> <outboundRules> <rule name="Add HttpOnly"> <match serverVa.
python后台返回cookie_Django框架设置cookies与获取cookies操作详解
weixin_39777637的博客
12-04 788
本文实例讲述了Django框架设置cookies与获取cookies操作。分享给大家供大家参考,具体如下:在Django里面,使用Cookie和Session看起来好像是一样的,使用的方式都是request.COOKIES[XXX]和request.session[XXX],其XXX是您想要取得的东西的key, 很久以前,写过一篇 django怎么处理session 的文章:django 自定义...
django-rest-captcha
05-27
Django Rest验证码django-simple-captcha轻量级版本,可与django-rest-framework 。特征速度:使用cache代替数据库安全性:用于生成密钥和图像的联合方法。 (一个键不能生成很多图像) 简单:只需一个rest api...
高效易用Django流程引擎源码 - django-lb-workflow
03-25
项目概述:django-lb-workflow 是一个基于Python的高效易用Django...综合来看,django-lb-workflow是一个功能全面、易于集成的Django流程引擎,非常适合需要在现有系统快速引入流程管理功能的开发者和项目团队使用。
django-db-connection-pool:Django 的持久数据库连接后端
05-30
django-db-connection-pool Django 的 MySQL & Oracle & PostgreSQL 连接池后端,基于 SQLAlchemy。快速开始使用pip安装所有引擎: $ pip install django-db-connection-pool[all] 或选择特定引擎: $ pip install ...
django-cookie-consent-authenticateduser:django-cookie-consent应用程序插件,可为经过身份验证的用户保存cookie首选项
03-31
django-cookie-同意通过身份验证的用户 插件,可将用户的cookie首选项保存在数据库。 安装 您需要先安装django-cookie-consent : pip install -e git://github....
django-rest-framework-role-filters:django-rest-framework的简单角色过滤
02-05
django-rest-framework-role-filters:django-rest-framework的简单角色过滤
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
sunsineq的专栏
06-25 2851
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。cookie的Secure指的是安全性。在WEB应用,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。
安全修复之Web——会话Cookie缺少HttpOnly属性
CN華少的博客
05-02 1634
安全修复之Web——会话Cookie缺少HttpOnly属性 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:Golang g...
Cookie_Django操作cookie
不怕猫的耗子z
10-11 2174
cookie 1、在网站,http请求是无状态的。也就是说即使第一次和服务器连接并且登录成功后,第二次请求服务器的时候服务器仍然不能知道当前是哪个用户的请求。cookie的出现就是为了解决这个问题 2、第一次登录后服务器返回一些数据(cookie)给浏览器,然后浏览器保存到本地,当该用户第二次请求服务器响应的时候,就会自动的把上次请求存储的cookie数据携带给服务器,服务器通过浏览器携带的数据就能判断是哪个用户请求数据了 ⑴第一次访问页面时,服务器将Cookie信息放在响应头发送给客户端。...
Django设置cookie、读取cookie、删除cookie
master_ning的博客
04-26 1万+
cookie:客户端游览器上的一个文件,以键值对进行保存,类似字典{'k':'v'},与服务器端没有关系,当游览器访问服务器时候,服务器会生成一个随机字符串保存在cookie返回给客户端,这样当客户端游览器下次访问服务器端时候,会带着这个保存了服务器端的随机字符串的cookie访问服务器,服务器端收到请求后,经过检查此cookie已存在此随机字符串,表示此客户端为已通过认证的状态,可以直接...
BIG-IP简单介绍
想飞的马
07-25 5878
 BIG-IP是f5公司的一系列硬件产品,它的主要职能就是对进出此设备的网络流量进行管理。最适宜用在需要对ip流量和web访问进行管理的环境下,比如,web访问的负载均衡;ssl认证得统一管理(把ssl做到big-ip上来,解放服务器得一部分性能);总体说,big-ip能对所有进出它的ip流量,进行管理和监控;具体怎样实现呢?                 |--------------
Tomcat为Cookie设置HttpOnly属性
学习记录和开发记录
07-20 2万+
A:Tomcat 维持Java webapp的Http会话是以Cookie形式实现的存储在服务端用户状态信息的; B:服务端可以自定义建立Cookie对象及属性传递到客户端; 服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击); 方法:
Django自带的django-cities和django-countries 示例
06-07
以下是使用Django自带的django-cities和django-countries应用程序的示例: 1. 安装django-countries和django-cities: ``` pip install django-countries django-cities ``` 2. 将这些应用程序添加到您的Django...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值