- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
在我的 Django 的 settings.py 中,我有
SESSION_COOKIE_HTTPONLY = True
SECURE_CONTENT_TYPE_NOSNIFF = True
SECURE_BROWSER_XSS_FILTER = True
X_FRAME_OPTIONS = 'DENY'
SESSION_COOKIE_SECURE = True
CSRF_COOKIE_SECURE = True
SECURE_SSL_REDIRECT = True
SECURE_HSTS_SECONDS = 15768000
SECURE_HSTS_INCLUDE_SUBDOMAINS = True
SECURE_HSTS_PRELOAD = True
SESSION_COOKIE_AGE = 2 * 24 * 3600
但是https://detectify.com发现没有为 csrftoken cookie 设置此标志。我检查了 Chrome 关于 cookie 的信息,如果我理解正确的话,空的 HTTP 列确认这两个 cookie 不是仅 HTTP 的:
此外,如果我在 Chrome 的控制台中执行 document.cookie
,则会显示 csrftoken 值。
我想知道为什么会出现这种情况。我在 uwsgi 和 nginx 上运行 Django。 nginx配置如下,问题站点为https://rodichi.net :
server {
listen 443 ssl http2 default_server;
server_name rodichi.net;
ssl_certificate /etc/letsencrypt/live/rodichi.net/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/rodichi.net/privkey.pem;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_protocols TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
charset utf-8;
... # location settings follow here
```
最佳答案
您仅将其配置为将 CSRF token 设置为安全(即仅通过 https 请求发送),而不是 HttpOnly(即不可用于 Javascript)。
查看 Django 文档,您还需要设置 CSRF_COOKIE_HTTPONLY 。然而,文档正确地指出:
Designating the CSRF cookie as HttpOnly doesn’t offer any practical protection because CSRF is only to protect against cross-domain attacks. If an attacker can read the cookie via JavaScript, they’re already on the same domain as far as the browser knows, so they can do anything they like anyway. (XSS is a much bigger hole than CSRF.)
Although the setting offers little practical benefit, it’s sometimes required by security auditors.
这还取决于您如何实现 CSRF。表单基本上有两种方法:
为每个表单设置一个隐藏的 CSRF 字段,并让该字段在每次加载表单时生成唯一的值。因此,如果提交的表单包含有效的代码,那么您就知道该请求来自您的域。这在服务器端很复杂,因为它需要跟踪有效 token ,并且还意味着必须动态生成每个表单以包含随机 token ,但在客户端更容易,因为使用标准表单请求而不是 JavaScript。对于这种保护,不需要 CSRF cookie,即使存在也不会使用它。
另一种方法调用设置 CSRF cookie,并让 Javascript 读取该 cookie 并将其在 HTTP header (通常是 X-CSRF-TOKEN)中发送。来自另一个域的 CSRF 请求将无法访问此 CSRF cookie,因此无法正确设置 header 。由于 cookie 也会在所有请求中发送,因此服务器可以轻松检查 HTTP 请求中的 cookie 是否与请求中设置的 header 匹配。这意味着请求来自可以访问 cookie 的某个地方,这意味着它来自同一域。这意味着这不是 CSRF 攻击。这在服务器端更容易实现(因为不需要保留事件 token 列表),但需要前端使用 Javascript,并且需要 CSRF token 不是 HttpOnly - 正是因为 token 是应该由客户端 Javascript 读取!
再次是Django documentation warns against this :
If you enable this and need to send the value of the CSRF token with an AJAX request, your JavaScript must pull the value from a hidden CSRF token form input on the page instead of from the cookie.
因此,总而言之,不建议为此 cookie 设置 HttpOnly 属性。它限制了您,没有增加真正的保护,并且使 cookie 本身毫无意义。
您将在您网站上的渗透测试报告中突出显示它(从外观上看,包括https://detectify.com),但您应该接受这一点,因为您认为这是正确的。不确定是否可以将此 cookie 列入白名单 https://detectify.com所以它不会每次都提醒?
关于Django 不会为 csrftoken cookie 设置 HttpOnly,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44849451/
在我的主要组件中,我有: mounted() { window.$cookie.set('cookie_name', userName, expiringTime); }, 这会产生以下错误:
我正在学习 cookie,并且我想知道在编写依赖 cookie 来存储状态的 Web 应用程序时浏览器的支持情况。 对于每个域/网站,可以向浏览器发送多少个 Cookie,大小是多少? 如果发送并存储
我已经为我的站点设置了一个 cdn,并将其用于 css、js 和图像。 网站只提供那些文件 我的问题是 firefox 中的页面速度插件对于我的图片请求,我看到了一个 cookie Cookie fc
在阅读了 Internet 上的文档和帖子后,我仍然无法解决 jMeter 中的 Cookie Manager 问题。 我在响应头中得到了 sid ID,但它没有存储在我的 cookie 管理器中。
我正在 Node.JS 中处理一些类似浏览器的 cookie 处理,想知道从 NodeJS and HTTP Client - Are cookies supported? 开始对这段代码进行扩展到什
我正在此堆栈上构建自托管 Web 服务器:欧文南希网络 API 2 我正在使用 Katana 的 Microsoft.Owin.Security.Cookies 进行类似表单的身份验证。我得到了 Se
我有一个从另一个网站加载资源的网站。我已经能够确定: 第三方网站在用户的浏览器上放置 cookie。 如果我在浏览器设置中禁用第三方 cookie,第三方网站将无法再在浏览器上放置 cookie。 该
关闭。这个问题是off-topic .它目前不接受答案。 想改善这个问题吗? Update the question所以它是 on-topic对于堆栈溢出。 9年前关闭。 Improve this q
我正在使用 python mechanize 制作登录脚本。我已经读到 Mechanize 的 Browser() 对象将自动处理 cookie 以供进一步请求。 我怎样才能使这个 cookie 持久
我正在尝试在 www.example.com 和 admin.other.example.com 之间共享 cookie 我已经能够使其与 other.example.com 一起使用,但是无法访问子
我设置了一个域为 .example.com 的 cookie .它适用于我网站上的每个一级子域,应该如此。 但是,它不适用于 n 级子域,即 sub.subdomain.example.com和 to
我想让用户尽可能长时间地登录。 我应该使用什么? 普通 cookies 持久性 cookie 快闪 cookies ip地址 session 或这些的某种组合? 最佳答案 我认为 Flash cook
如果给定的 Web 服务器只能读取其域内设置的 cookie,那么 Internet 广告商如何从其网络外的网站跟踪用户的 Web 流量? 是否存在某种“supercookie”全局广告系统,允许广告
我知道一个 cookie 可以容纳多少数据是有限制的,但是我们可以设置多少个 cookie 有限制吗? 最佳答案 来自 http://www.ietf.org/rfc/rfc2109.txt Prac
如果我拒绝创建 cookie,则在我的浏览器中创建名称为 __utma、__utmb 等的 cookie。我认为这个 cookie 是用于谷歌分析的。任何人都知道谷歌如何创建这个 cookie,即使浏
我有一个生产环境和一个登台环境。我想知道我是否可以在环境之间沙箱 cookie。我的设置看起来像 生产 domain.com - 前端 SPA api.domain.com - 后端节点 分期 sta
我想知道浏览器(即 Firefox )和网站的交互。 当我将用户名和密码提交到登录表单时,会发生什么? 我认为该网站向我发送了一些 cookie,并通过检查这些 cookie 来授权我。 cookie
我在两个不同的域中有两个网络应用程序 WebApp1 和 WebApp2。 我在 HttpResponse 的 WebApp1 中设置 cookie。 如何从 WebApp2 中的 HttpReque
我正在使用Dartium“Version 34.0.1847.0 aura(264987)”,并从Dart创建一个websocket。但是,如果不是httpOnly,我的安全 session cook
我从 Headfirst Javascript 书中获取了用于 cookie 的代码。但由于某种原因,它不适用于我的浏览器。我主要使用chrome和ff,并且我在chrome中启用了本地cookie。
我是一名优秀的程序员,十分优秀!