django-cookieless 1.1

安装

要安装，请通过pip或其他构建工具添加包，例如bin/pip install django cookieless

然后替换中间件设置中的标准会话：

>>> MIDDLEWARE = (
...    'django.middleware.gzip.GZipMiddleware',
...    'django.middleware.common.CommonMiddleware',
...    'django.middleware.transaction.TransactionMiddleware',
...    # 'django.contrib.sessions.middleware.SessionMiddleware',
...    'cookieless.middleware.CookielessSessionMiddleware',
...)

以下设置控制其行为：

（请参见示例设置文件）

1. 自动重写响应，而不是使用手动方式<；%session\u token%>；<；%session\u url%>；

无cookieless['rewrite']=真

1. 重写url以添加无cookies修饰视图的会话id（如果为false，则所有页面导航都必须通过表单发布）

无Cookieless['use_get']=真

1. 使用客户端IP和用户代理加密会话密钥，添加某种CSRF保护，因为标准CSRF必须在不使用cookies的情况下禁用。

无Cookieless['client_id']=真

1. 如果填充了此列表，则仅允许白名单中的主机投递到服务器。因此，该站点所服务的任何域都应添加到列表中。但是，如果没有找到referer，则会话被重置，这将在页面重新加载时发生。这有助于防止XSS攻击。

无Cookieless['hosts']=['localhost'，]

1. 更进一步的安全选项是不将基于cookie的会话作为无cookie的会话查找和持久化，因为这些会话可能绑定到用户或其他数据。相反，会创建新的会话来绑定到无Cookieless数据。这降低了无Cookieless允许捕获用户会话的风险，从而降低了权限提升攻击。

无cookieless['no_cookie_persist']=真

1. 进一步的安全选项，仅保留用于访问特定URL的会话

无cookieless['url_specific']=真

1. 删除为无cookie修饰的url找到的所有cookie（可以是由其他url设置的cookie）

无Cookieless['删除Cookie']=假

测试

测试套件设置了一个简单的应用程序来手动测试cookies，并对其运行功能测试。

要运行测试，您可能需要从src（或您的分支）安装：

bin/pip安装-e git+https://github.com/edcrewe/django cookieless egg=django cookieless

然后通过：

bin/django-admin.py或manage.py test cookieless.tests–settings=cookieless.tests.settings

（由于pip的问题，包已从命名空间包更改 当它执行nspkg.pth文件时，不安装用于运行测试的"初始化"

无烹饪/装饰.py

因为django测试浏览器有一些特定于会话实现的模拟， 如果直接用它来对付无烹饪，它就不能工作，所以要阻止它破坏其他的测试 无cookieless检查django admin命令是否已使用'test'参数调用并设置settings.testing=true，如果是，则不使用任何cookie装饰。

要覆盖此自动禁用设置，只需将testing=false添加到您的测试设置中。