如何在 Flask 中设置 HTTPONLY cookie

Posted

技术标签:

【中文标题】如何在 Flask 中设置 HTTPONLY cookie【英文标题】:How to set an HTTPONLY cookie in Flask 【发布时间】:2020-03-19 17:26:36 【问题描述】:

我阅读了Set "secure" attribute for Flask cookies,但它是用于设置安全 cookie,但我正在尝试设置 HTTPONLY cookie。它们都是某种安全 cookie,但规格不同 (read more)。

cookie需要保护,因为它是关于用户的登录信息。

【问题讨论】:

【参考方案1】:

检查 Flask API 下的 set_cookie() (docs)。它提供了使用 httponly 选项设置 HTTPONLY cookie 的选项。例如,以下代码将设置一个 HTTPONLY cookie:

set_cookie("name", value = "value", httponly = True)

【讨论】:

【参考方案2】:

Flask 提供了一个配置值SESSION_COOKIE_HTTPONLY,它控制cookie 是否设置为仅http。但是,默认情况下,它设置为 True,因此除非明确设置为 False,否则 cookie 将仅为 http。

【讨论】:

以上是关于如何在 Flask 中设置 HTTPONLY cookie的主要内容,如果未能解决你的问题,请参考以下文章

如何在 ngCookies 中设置 httpOnly 标志?

你如何在 PHP 中设置使用 HttpOnly cookie

在 web.xml 中设置 'HttpOnly' 和 'Secure'

在 JSESSIONID cookie 中设置 httponly (Java EE 5)

Cookie中设置了"HttpOnly"属性,有效的防止XSS攻击

Flask:如何在响应中设置状态码