Python 更改会话cookie的超时是否存在安全风险？

假设我有一个金字塔应用程序，其中我使用

unencryptedCookiesSessionFactoryConfig

作为csrf令牌，并使用

SessionAuthenticationPolicy

进行身份验证。会话cookie的默认超时为1200，这意味着我的用户在20分钟后断开连接，这非常烦人

我试图提高超时时间，甚至删除它，并设置一个最大年龄，使其在浏览器中生存，但我想超时是有一个很好的理由的

使用长期会话cookie是否存在安全风险？这被认为是坏习惯吗

---

我的猜测是csrf令牌应该是短期的。在这种情况下，我应该使用

AuthTktAuthenticationPolicy

进行身份验证。同样的问题：具有最长时间的身份验证cookie在将来是否是一种糟糕的做法？

请注意，超时仅适用于在此期间未联系服务器的用户。在20分钟内访问您的站点将刷新cookie

是的，允许更长的Cookie超时存在安全风险；它创建了一个较长的窗口，在该窗口中可以破坏客户端计算机或尝试利用应用程序中的XSS漏洞。我还是会对饼干设定一个限制

无论如何，我都会使用

AuthTktAuthenticationPolicy

来管理用户身份验证会话；它提供了对会话生存期的更细粒度的控制（见下图）

您甚至可以编写一小段javascript，在用户处于活动状态时（键盘和鼠标输入，比如说，每分钟戳一次）定期戳服务器以刷新cookie；关闭浏览器，会话将在20分钟内自动结束