Django HTTPS和HTTP会话
问题描述:
我使用Django 1.1.1和ssl重定向中间件。Django HTTPS和HTTP会话
通过HTTPS创建的会话数据(身份验证等)在网站的HTTP部分中不可用。
什么是最好的方式使它可用,而无需使整个网站的HTTPS?
答
这是设计,而不是你可以随时改变的东西。
当通过HTTP查看同一站点时,浏览器不会发送通过HTTPS发送的Cookie /身份验证。您的最佳解决方案可能是将用户从HTTPS页面重定向到设置身份验证cookie的HTTP页面。
请记住,通过电报以纯文本形式发送的未经身份验证的Cookie会打开您的用户进行欺骗和重放攻击。这对您的应用程序可能无关紧要。
答
一直有类似的问题。在#django IRC用户IIIE向我指出这个设置:
-
SESSION_COOKIE_DOMAIN(https://docs.djangoproject.com/en/dev/ref/settings/#session-cookie-domain)
这个选项设置为".domain.com"让我分享域名主机HTTP/HTTPS会话之间以及跨和/子域。
我可以想象一种情况,一个人不想这两个,但它现在解决了我的问题。