|
|
4 回复 | 直到 16 年前
|
1
1
虽然您可以在没有cookies的情况下使用django,但有数百万种方式,所有这些方式都假设您不需要跟踪会话数据。对用户和您来说,通过cookies保存会话数据可能是最可靠和安全的方法。另一种方法是将会话ID附加到URL的末尾(这可能会通过referer头将这些会话ID暴露给外部服务器)和跟踪ip,这两种方法都不起作用,除非一次只有一个用户来自同一个ip,并且您知道所有用户的ip,并且这些用户很少更改,我无法想象在2010年的web应用程序中会实现这样的功能。 |
|
2
2
我已经释放了 http://pypi.python.org/pypi/django-cookieless 管理没有cookie的会话的使用,这允许一些额外的安全特性,例如只在表单post中传递的加密会话密钥,将加密绑定到客户端ip等等。 但就安全性而言,我仍然不建议将其用于绑定到经过身份验证的用户的会话,因为没有cookie,会话窃取就无法得到充分的保护。 |
|
|
3
1
您可以使用HTTP身份验证(基本或摘要)。大多数web浏览器都允许存储这些凭据,或者在浏览会话结束时让这些凭据过期。管理员不关心身份验证是如何完成的,因此您甚至可以让会话处于未启用状态。 注意,使用httpbasic auth,您将 需要 在https下服务,因为头文件本质上是包含用户名和密码的明文。 |
|
|
4
0
你可以把数据输入
|
推荐文章
|
|
Michael · 某些Windows客户端上的命名管道安全问题 2 年前 |
|
|
adamency · 是否可以从Go二进制文件的源代码中检索字符串? 2 年前 |
|
|
AlboSimo · PayPal Api密钥安全 2 年前 |
