【发布时间】:2016-02-18 03:14:30
【问题描述】:
我有一个 django 应用程序。该应用程序有 2 个从服务器返回的主要 cookie(csrftoken 和 sessionid)。我将 settings.py 文件中的 SESSION_COOKIE_SECURE 和 CSRF_COOKIE_SECURE 标志设置为 True,如果我检查登录到我的应用程序的初始请求,我会发现这两个 cookie 都在服务器的响应中设置了“安全”标志。
当我在我的应用程序中检查 cookie 时,我注意到有“请求 cookie”和“响应 cookie”。 “响应cookie”是设置了标志的cookie。请求 cookie 没有。
我的问题:有没有办法强制“请求 cookie”设置其安全标志?这甚至是安全问题吗?我的应用程序流量是通过 https 的,所以浏览器和服务器之间的所有连接都已经被加密了......
【问题讨论】: