Fatal编程技术网
  • plone/
  • 如何为Plones`\uu ac` cookie设置'secure'和'httpOnly'?

如何为Plones`\uu ac` cookie设置'secure'和'httpOnly'?

plone

如何为Plones`\uu ac` cookie设置'secure'和'httpOnly'?,plone,session-cookies,zope,Plone,Session Cookies,Zope,我已经安装了Plone 4.3.2(Zope 2.13.21)。如文档()中所述,Cookie应该是安全的,并且是Zope 2.12或更高版本的 还要注意,建议的补丁已经包含在Zope2.12.0中 b1,所以将使用Zope2.12或更高版本的Plone 4不会有这个 问题 但是,如果我以管理员身份(或在zope根目录下定义的另一个用户)登录,\uu accookie不是安全的,也不是httpOnly。如果我以在网站中创建的用户身份登录,一切正常。有没有办法更改此设置?首先,在Plone中设置c

我已经安装了Plone 4.3.2(Zope 2.13.21)。如文档()中所述,Cookie应该是安全的,并且是Zope 2.12或更高版本的

还要注意,建议的补丁已经包含在Zope2.12.0中 b1,所以将使用Zope2.12或更高版本的Plone 4不会有这个 问题

但是,如果我以管理员身份(或在zope根目录下定义的另一个用户)登录,
\uu ac
cookie不是
安全的
,也不是
httpOnly
。如果我以在网站中创建的用户身份登录,一切正常。有没有办法更改此设置?

首先,在Plone中设置cookie设置:

  • 附加/管理到plone站点url
  • 单击“acl\U用户”
  • 单击“会话”
  • 单击“属性”选项卡
然后,对于root登录,这取决于您登录的位置

Zope root没有实现cookie插件,它只使用基本身份验证登录。在我看来,如果不先通过隧道或使用VPN进入zope根目录,就不应该访问zope根目录

最后,您可以从plone站点禁用凭据\u basic\u auth插件。

Short version:使用前端web服务器。我使用nginx作为前端服务器时可能会出现重复。ngnix可以做类似的事情吗,比如Apaches
Header edit Set Cookie^(.*)$$1;保护HttpOnly
。Plone docu说它做不到,但docu已经5年了。有一些讨论。