2
我安裝了Plone 4.3.2(Zope 2.13.21)。如文檔(http://plone.org/documentation/kb/securing-plone)中所述,Cookie應爲secure和httpOnly,Zope 2.12或更高版本。如何爲Plones`__ac` Cookie設置`secure`和`httpOnly`?
還要注意的是建議的補丁已經包含在Zope的2.12.0 B1,所以Plone 4中,將使用Zope的2.12或更高版本,不會有這個問題
但如果我以管理員身份(或在zope-root中定義的其他用戶)登錄,__ac Cookie不是secure,而不是httpOnly。如果我以在網站中創建的用戶身份登錄,則一切正常。有沒有辦法改變這個?
簡版:使用您的前端Web服務器。可能的重複http://stackoverflow.com/questions/17193366/according-to-german-bsi-plone-does-not-use-secure-cookies-ootb-how-do-i-change – sdupton
我使用nginx作爲前端 - 結束服務器。 ngnix可以做類似Apaches'Header edit Set-Cookie ^(。*)$ $ 1; Secure; HttpOnly'。 Plone實際上說它不能做,但是文件是5歲。 – mara
http://serverfault.com/questions/496749/in-nginx-reverse-proxy-how-to-set-the-secure-flag-for-cookies有一些討論。 – sdupton