django set_signed_cookie 方法理解

2023年4月10日下午2:39 • Django

djang set_signed_cookie 理解

signed_cookie 只是加了签名的 cookie, 而不是被加密的 cookie.

signed_cookie 的作用是防止用户私自纂改.参考: Securing Web Cookies With Signatures

So once I’ve logged in, we set a username cookie containing “Michael Brunton-Spall”, or uid=1 or something.
The problem with this is that the user is in total control of this cookie
单纯的记录 uid 或者用户名在 cookie 中很容易被篡改(也是不建议将用户敏感信息记录在cookie中的原因), 万一攻击者把uid=1换成uid=2岂不是可以访问 uid=2用户的资源了吗? 而如果换成uid=2:1fPjh2:iQGDDYNcgSYkIFqa2ixqakj6-gI那么服务端不仅检验uid, 还检验uid=2后面的签名字段, 即是调用HttpRequest.get_signed_cookie(key=key, salt=salt), 这样即使用户把 cookie 中的 value 换成 uid=2, 但是没有签名, 服务端照样拒绝访问资源.

另外, Django 的 cookie 签名是用的Base64_with_hmac, 参考: Source code for django.core.signing

如果需要在 cookie 里设置被加密的 value, 需要自行对 value 进行加密(好像只能是对称加密), 比如使用hashlib.sha256{参考: hashlib — Secure hashes and message digests}:

cookie签名代码:

response.set_signed_cookie("qyUserName", "WANGCONGXING", salt="d8s#wc%0t7")

设置cookie后的效果:

django set_signed_cookie 方法理解

本站文章如无特殊说明，均为本站原创，如若转载，请注明出处：django set_signed_cookie 方法理解 - Python技术站

赞 (0)

微信扫一扫

微信扫一扫

支付宝扫一扫

支付宝扫一扫

离线部署Django工程项目迁移到无网络环境

上一篇 2023年4月10日

Django之drf的视图类

下一篇 2023年4月10日

Django

Django+Vue打造购物网站(二)

配置后台管理 xadmin直接使用之前的在线教育的那个就可以了 users/adminx.py #!/usr/bin/env python # -*- coding: utf-8 -*- # @Time : 2018/9/19 下午 01:15 # @Author : gao # @File : adminx.py import xadmin from us…

2023年4月9日
000
Django：runserver实现远程访问

Django自带的runserver实现远程访问最近在Ubuntu服务器上创建了一个Django项目，想实现远程访问：新创建一个名为my_site的Django项目，目录结构如下：项目结构 ../my_site/ ├── db.sqlite3 ├── manage.py └── my_site ├── __init__.py ├── __pycache_…

Django 2023年4月13日
000
django 分页出现 UnorderedObjectListWarning 错误

django 分页出现此错误： UnorderedObjectListWarning: Pagination may yield inconsistent results with an unordered object_list: <class ‘monitor.models.HostBind’> QuerySet. allow_empty_f…

Django 2023年4月16日
000
Python – Django – ORM 操作数据

app01/models.py 中定义的类，也就是创建的表 from django.db import models # 类必须继承 models.Model class Admin(models.Model): # 创建一个主键自增的字段 id = models.AutoField(primary_key=True) # AutoField 为自增的字段 …

Django 2023年4月10日
000
Django项目后台不挂断运行的方法

下面是详细讲解“Django项目后台不挂断运行的方法”的攻略：方法一：使用Supervisor Supervisor是一个用Python编写的进程管理工具。通过在系统中安装Supervisor，我们可以将Django项目的Web服务器后台运行并在系统崩溃或关闭时继续运行。安装Supervisor 通过包管理器安装Supervisor，例如在Debian/…

Django 2023年5月16日
000
uwsgi启动django项目的实现步骤

下面我来详细讲解“uwsgi启动django项目的实现步骤”的完整攻略。步骤一：安装uwsgi 在Linux系统中，我们可以使用pip命令来安装uwsgi，具体命令如下： sudo pip install uwsgi 步骤二：配置uwsgi 在uwsgi的配置文件中，需要设置以下几个选项： 1. chdir 该选项设置uwsgi启动时的工作目录，即Djan…

Django 2023年5月16日
000
Django中Forms的使用代码解析

我来详细讲解一下“Django中Forms的使用代码解析”的攻略，包含两条示例说明。一、什么是Django Forms Django Forms是用来收集并验证用户提交数据的工具，在Django中使用Forms可以方便地快速创建表单并进行表单的各项验证。Django Forms常用于与View视图函数一起配合使用，从而实现表单的各种处理功能。二、Djan…

Django 2023年5月15日
000
Django

Django Rest Framework之认证

　　url.py: from django.conf.urls import url, include from web.views.s1_api import TestView urlpatterns = [ url(r’^test/’, TestView.as_view()), ] 　　views.py: from rest_framework.vie…

2023年4月9日
000

合作推广

合作推广

返回顶部