Projet

Général

Profil

Development #21030

debian : poser CSRF_COOKIE_HTTPONLY par défaut

Ajouté par Frédéric Péters il y a plus de 6 ans. Mis à jour il y a plus de 5 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
-
Début:
07 janvier 2018
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:

Description

Pour le moment on a :

(security.W017) You have 'django.middleware.csrf.CsrfViewMiddleware' in your MIDDLEWARE_CLASSES, but you have not set CSRF_COOKIE_HTTPONLY to True. Using an HttpOnly CSRF cookie makes it more difficult for cross-site scripting attacks to steal the CSRF token.

Et à mon sens on pourrait en effet tout le temps avoir cette option à True. (jamais on ne manipule le cookie csrf via du javascript).

Fichiers

0001-debian-set-CSRF_COOKIE_HTTPONLY-by-default-21030.patch (787 octets) 0001-debian-set-CSRF_COOKIE_HTTPONLY-by-default-21030.patch Frédéric Péters, 07 janvier 2018 12:32

Révisions associées

Révision 8e230861 (diff)
Ajouté par Frédéric Péters il y a environ 6 ans

debian: set CSRF_COOKIE_HTTPONLY by default (#21030)

Historique

#1

Mis à jour par Frédéric Péters il y a plus de 6 ans

#2

Mis à jour par Thomas Noël il y a environ 6 ans

Ack ; mais à pousser un mardi d'après release.

#3

Mis à jour par Frédéric Péters il y a environ 6 ans

  • Statut changé de En cours à Résolu (à déployer)

Ack ; mais à pousser un mardi d'après release.

On est vendredi mais on n'a pas eu de mise à jour hobo hier, donc ok.

commit 8e230861e6e55f3185ea879e90fe19cd765b42af
Author: Frédéric Péters <fpeters@entrouvert.com>
Date:   Sun Jan 7 12:31:48 2018 +0100

    debian: set CSRF_COOKIE_HTTPONLY by default (#21030)
#4

Mis à jour par Frédéric Péters il y a plus de 5 ans

  • Statut changé de Résolu (à déployer) à Solution déployée

Formats disponibles : Atom PDF