У меня есть приложение Django, и я настраиваю некоторые параметры безопасности. Одной из настроек является флаг SESSION_COOKIE_HTTPONLY
. Я установил этот флаг в True.
При создании сеанса (входе в систему) я вижу установленный флаг сеанса HTTPOnly
, если я проверяю файлы cookie. При выходе сервер отправляет обратно обновление файла cookie сеанса с пустым значением, чтобы показать, что файл cookie был уничтожен. Этот пустой файл cookie не отправляется обратно с установленным флагом httpOnly
.
Мой вопрос: это проблема безопасности? Есть ли способ заставить Django установить этот флаг при выходе из системы? Или это просто ожидаемое поведение и не является проблемой безопасности, поскольку возвращаемый файл cookie сеанса пуст?