Python 更改会话cookie的超时是否存在安全风险?
假设我有一个金字塔应用程序,其中我使用Python 更改会话cookie的超时是否存在安全风险?,python,security,session,pyramid,Python,Security,Session,Pyramid,假设我有一个金字塔应用程序,其中我使用unencryptedCookiesSessionFactoryConfig作为csrf令牌,并使用SessionAuthenticationPolicy进行身份验证。会话cookie的默认超时为1200,这意味着我的用户在20分钟后断开连接,这非常烦人 我试图提高超时时间,甚至删除它,并设置一个最大年龄,使其在浏览器中生存,但我想超时是有一个很好的理由的 使用长期会话cookie是否存在安全风险?这被认为是坏习惯吗 我的猜测是csrf令牌应该是短期的。在这
unencryptedCookiesSessionFactoryConfig
作为csrf令牌,并使用SessionAuthenticationPolicy
进行身份验证。会话cookie的默认超时为1200,这意味着我的用户在20分钟后断开连接,这非常烦人
我试图提高超时时间,甚至删除它,并设置一个最大年龄,使其在浏览器中生存,但我想超时是有一个很好的理由的
使用长期会话cookie是否存在安全风险?这被认为是坏习惯吗
我的猜测是csrf令牌应该是短期的。在这种情况下,我应该使用
AuthTktAuthenticationPolicy
进行身份验证。同样的问题:具有最长时间的身份验证cookie在将来是否是一种糟糕的做法?请注意,超时仅适用于在此期间未联系服务器的用户。在20分钟内访问您的站点将刷新cookie
是的,允许更长的Cookie超时存在安全风险;它创建了一个较长的窗口,在该窗口中可以破坏客户端计算机或尝试利用应用程序中的XSS漏洞。我还是会对饼干设定一个限制
无论如何,我都会使用AuthTktAuthenticationPolicy
来管理用户身份验证会话;它提供了对会话生存期的更细粒度的控制(见下图)
您甚至可以编写一小段javascript,在用户处于活动状态时(键盘和鼠标输入,比如说,每分钟戳一次)定期戳服务器以刷新cookie;关闭浏览器,会话将在20分钟内自动结束