Development #21030
debian : poser CSRF_COOKIE_HTTPONLY par défaut
Statut:
Fermé
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
-
Début:
07 janvier 2018
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Oui
Planning:
Description
Pour le moment on a :
(security.W017) You have 'django.middleware.csrf.CsrfViewMiddleware' in your MIDDLEWARE_CLASSES, but you have not set CSRF_COOKIE_HTTPONLY to True. Using an HttpOnly CSRF cookie makes it more difficult for cross-site scripting attacks to steal the CSRF token.
Et à mon sens on pourrait en effet tout le temps avoir cette option à True. (jamais on ne manipule le cookie csrf via du javascript).
Fichiers
Révisions associées
Historique
Mis à jour par Frédéric Péters il y a plus de 6 ans
- Fichier 0001-debian-set-CSRF_COOKIE_HTTPONLY-by-default-21030.patch 0001-debian-set-CSRF_COOKIE_HTTPONLY-by-default-21030.patch ajouté
- Statut changé de Nouveau à En cours
- Patch proposed changé de Non à Oui
Mis à jour par Frédéric Péters il y a environ 6 ans
- Statut changé de En cours à Résolu (à déployer)
Ack ; mais à pousser un mardi d'après release.
On est vendredi mais on n'a pas eu de mise à jour hobo hier, donc ok.
commit 8e230861e6e55f3185ea879e90fe19cd765b42af Author: Frédéric Péters <fpeters@entrouvert.com> Date: Sun Jan 7 12:31:48 2018 +0100 debian: set CSRF_COOKIE_HTTPONLY by default (#21030)
Mis à jour par Frédéric Péters il y a plus de 5 ans
- Statut changé de Résolu (à déployer) à Solution déployée
debian: set CSRF_COOKIE_HTTPONLY by default (#21030)