如何在相同的子域上获得不同的Django应用程序来共享会话cookie？

在相同的子域上获得不同的Django应用程序来共享会话cookie，可以通过以下方法实现：

使用Django的SessionMiddleware和SessionEngine。

Django的SessionMiddleware可以帮助您在不同的应用程序之间共享会话数据。您可以通过在settings.py文件中设置SESSION_ENGINE来选择会话引擎。例如，您可以使用Django的默认会话引擎django.contrib.sessions.backends.db来存储会话数据。

INSTALLED_APPS = [
    ...
    'django.contrib.sessions',
    ...
]

MIDDLEWARE = [
    ...
    'django.contrib.sessions.middleware.SessionMiddleware',
    ...
]

SESSION_ENGINE = 'django.contrib.sessions.backends.db'

使用相同的会话cookie名称。

要在不同的应用程序之间共享会话cookie，您需要确保它们使用相同的cookie名称。您可以通过在settings.py文件中设置SESSION_COOKIE_NAME来设置会话cookie名称。

SESSION_COOKIE_NAME = 'my_session_cookie'

使用相同的会话cookie域。

要在相同的子域上获得不同的Django应用程序来共享会话cookie，您需要确保它们使用相同的cookie域。您可以通过在settings.py文件中设置SESSION_COOKIE_DOMAIN来设置会话cookie域。

SESSION_COOKIE_DOMAIN = '.mydomain.com'

这将允许所有子域名上的应用程序共享会话cookie。

使用相同的会话cookie路径。

要在相同的子域上获得不同的Django应用程序来共享会话cookie，您需要确保它们使用相同的cookie路径。您可以通过在settings.py文件中设置SESSION_COOKIE_PATH来设置会话cookie路径。

SESSION_COOKIE_PATH = '/mypath/'

这将允许在相同的子域上的所有应用程序共享会话cookie。

通过以上方法，您可以在相同的子域上获得不同的Django应用程序来共享会话cookie。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

python面试题--1

比如说按创建日期排序的所有用户名，如["Seth", "Ema", "Eli"]。元组表示的是结构。可以用来存储不同数据类型的元素。...强大的社区支持：Django拥有庞大的社区，提供了大量的文档、教程和开源项目。这意味着开发人员可以轻松找到解决方案并获得帮助。...Flask脚本工作的常用方法是：应用程序的导入路径或者是Python文件的路径 39）解释如何在Flask中访问会话？会话基本上允许您记住从一个请求到另一个请求的信息。...在一个Flask中，它使用签名cookie，以便用户可以查看会话内容并进行修改。如果只有密钥Flask.secret_key，则用户可以修改会话。...40）Flask是MVC模型，如果是，举例说明你的应用程序的MVC模式？基本上，Flask是一个简约框架，其行为与MVC框架相同。所以MVC非常适合Flask，MVC的模式我们将考虑以下示例。

601 0

实用，完整的HTTP cookie指南

它们在相同的域上，但是子域名不同。同样，浏览器也拒绝此cookie： ?...下面是对另一个自动附加cookie的子域的请求 ?...概括地说，浏览器使用以下启发式规则来决定如何处理cookies(这里的发送者主机指的是你访问的实际网址): 如果“Domain”中的域或子域与访问的主机不匹配，则完全拒绝 Cookie 如果 Domain...它们是不同的域，因此会 CORS 的限制。处理 CORS CORS 是一个 W3C 标准，全称是“跨域资源共享”（Cross-origin resource sharing）。...为了在不同来源的Fetch请求中包含cookie，我们必须提credentials 标志（默认情况下，它是相同来源）。

6K4 0

【网络知识补习】❄️| 由浅入深了解HTTP（四） HTTP之cookies

因此，指定 Domain 比省略它的限制要少。但是，当子域需要共享有关用户的信息时，这可能会有所帮助。...浏览器将只在访问相同站点时发送 cookie。（在原有 Cookies 的限制条件上的加强，如上文 “Cookie 的作用域” 所述） Lax。...子域上的易受攻击的应用程序可以使用 Domain 属性设置 cookie，从而可以访问所有其他子域上的该 cookie。会话固定攻击中可能会滥用此机制。...根据应用程序的不同，可能需要使用服务器查找的不透明标识符，或者研究诸如 JSON Web Tokens 之类的替代身份验证/机密机制。...如果域不同，则它是第三方 cookie（third-party cookie）。

1.9K2 0

HTTP cookie 完整指南

它们在相同的域上，但是子域名不同。...：概括地说，浏览器使用以下启发式规则来决定如何处理cookies(这里的发送者主机指的是你访问的实际网址): 如果“Domain”中的域或子域与访问的主机不匹配，则完全拒绝 Cookie 如果 Domain...中看到的值完全匹配，刚会回传 cookie 如果请求主机是与我在“Domain”中看到的值完全匹配的子域，则将回传 cookie 如果请求主机是sub.example.dev之类的子域，包含在example.dev...你可以通过查看 “Network” 标签中的请求来确认,没有发送此类Cookie：为了在不同来源的Fetch请求中包含cookie，我们必须提credentials 标志（默认情况下，它是相同来源）...之所以称为基于会话的会话，是因为用于用户识别的相关数据存在于后端的会话存储中，这与浏览器的会话存储不同。何时使用基于会话的身份验证只要能使用就使用它。

4.3K2 0

浏览器中存储访问令牌的最佳实践

在任何情况下，浏览器都可能会自动将cookie(包括单点登录cookie)添加到这样的请求中。 CSRF攻击也被称为“会话骑乘”，因为攻击者通常会利用用户的经过身份验证的会话来进行恶意请求。...应用程序可以使用专用API(如Web存储API或IndexedDB)来存储令牌。应用程序也可以简单地将令牌保存在内存中或将其放在cookie中。...)上并使用相同的scheme(https)。...当使用适当的属性配置cookie时，浏览器泄露访问令牌的风险为零。然后，XSS攻击与在同一站点上的会话劫持攻击相当。...在上面的示例中，浏览器将cookie包含在跨域请求中。但是，由于cookie属性SameSite=Strict，浏览器只会将cookie添加到同一站点(同一域)的跨域请求中。

2661 0

HTTP cookies

因此，如果Web应用的Cookie被窃取，可能导致授权用户的会话受到攻击。常用的窃取Cookie的方法有利用社会工程学攻击和利用应用程序漏洞进行XSS攻击。...追踪和隐私节第三方Cookie节每个Cookie都会有与之关联的域（Domain），如果Cookie的域和页面的域相同，那么我们称这个Cookie为第一方Cookie（first-party cookie...），如果Cookie的域和页面的域不同，则称之为第三方Cookie（third-party cookie.）。...大多数浏览器默认都允许第三方Cookie，但是可以通过附加组件来阻止第三方Cookie（如EFF的Privacy Badger）。...它们一般是使用Web storage API、Flash本地共享对象或者其他技术手段来达到的。相关内容可以看： Evercookie by Samy Kamkar 在维基百科上查看僵尸Cookie

2.2K4 0

MIT 6.858 计算机系统安全讲义 2014 秋季（二）

Java 假设具有相同 IP 地址的不同主机名具有相同的来源（与 SOP 策略不符）。如果它们共享相同的 IP 地址，x.y.com 将与 z.y.com 具有相同的来源。...[似乎可能不好，因为不同的负责人编写了代码，但它们包含在同一个框架中…] 是的，它们可以！它们将获得相同的起源。...参见“Content-Length”讨论），在某些情况下，具有相同 IP 地址的不同主机名被认为共享相同的来源。...Django 开发人员在安全方面进行了一定程度的思考。因此，Django 是一个很好的案例研究，可以看到人们如何在实践中实现 Web 安全。...会话 ID 指的是 Web 服务器上某个会话表中的条目。该条目存储了一堆每个用户的信息。会话 cookie 是敏感的：对手可以使用它们来冒充用户！

2361 0

Web Security 之 CORS

同源策略的放宽同源策略具有很大的限制性，因此人们设计了很多方法去规避这些限制。许多网站与子域或第三方网站的交互方式要求完全的跨域访问。使用跨域资源共享（CORS）可以有控制地放宽同源策略。...某个组织决定允许从其所有子域（包括尚未存在的未来子域）进行访问。应用程序允许从其他组织的域（包括其子域）进行访问。这些规则通常通过匹配 URL 前缀或后缀，或使用正则表达式来实现。...例如，假设应用程序允许以下结尾的所有域的访问权限： normal-website.com 攻击者则可以通过注册以下域来获得访问权限（结尾匹配）： hackersnormal-website.com...当浏览器从一个源发送 HTTP 请求到另一个源时，与另一个源相关的任何 cookie （包括身份验证会话cookie）也将会作为请求的一部分一起发送。...在过去，你可以将 document.domain 设置为顶级域名如 com，以允许同一个顶级域名上的任何域之间的访问，但是现代浏览器已经不允许这么做了。

1.3K1 0

三种对CORS错误配置的利用方法

同源策略（SOP）限制了应用程序之间的信息共享，并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时，也带来了另外的问题。...随着Web应用程序和微服务使用的日益增长，出于实用目的往往需要将信息从一个子域传递到另一个子域，或者在不同域之间进行传递（例如将访问令牌和会话标识符，传递给另一个应用程序）。...为了允许跨域通信，开发人员必须使用不同的技术来绕过SOP并传递敏感信息，以至于现今也成为了一个棘手的安全问题。...这意味着任何域都可以访问资源。在测试我们客户的Web应用程序时，我们注意到了这种错误配置。我们能够利用它来获取用户信息，如姓名，用户ID，电子邮件ID，并能够将此信息发送到外部服务器。...但这并不完全安全，因为只要白名单域中的一个子域易受到其他攻击（如XSS），那么也可以进行CORS利用。

3K2 0

终极 API 学习路线图

API 身份验证 API 身份验证技术，如基本身份验证、令牌、JWT、OAuth 和会话身份验证 5. API 文档一个好的 API 是可以理解的。...我们有单独的服务来服务于系统的不同功能。虽然这种架构有助于解耦和职责分离，但我们需要处理服务之间的各种通信。不同的职能团队需要说同一种语言。专门的功能团队只负责自己的组件和服务。...用简单的术语解释 Oauth 2.0 OAuth 2.0 是一个功能强大且安全的框架，它允许不同的应用程序代表用户安全地相互交互，而无需共享敏感凭据。...也许您的建议实际上导致了 OAuth 3。会话、Cookie、JWT、令牌、SSO 和 OAuth 2.0 在一个图表中解释当您登录网站时，需要管理您的身份。...以下是不同解决方案的工作原理：会话 - 服务器存储您的身份并为浏览器提供会话 ID Cookie。这允许服务器跟踪登录状态。但是 cookie 不能在设备上正常工作。

971 0

【Java 进阶篇】Java Cookie共享：让数据穿越不同应用的时空隧道

通过设置不同的属性，我们可以控制Cookie的作用域和行为。实现Cookie共享要实现Cookie共享，我们需要确保多个Web应用可以访问相同的Cookie数据。...这通常涉及到设置Cookie的域属性和路径属性。以下是一些步骤来实现Cookie共享： 1. 设置共享的Cookie 首先，您需要确保要共享的Cookie在所有涉及的Web应用中都是相同的。...这样，不同的应用可以在请求中获取相同的Cookie数据。 3. 同一域名和路径确保不同的应用都在相同的域名和路径下运行，以便能够访问相同的Cookie。...第一步：在应用1中创建共享Cookie 在应用1中创建名为sharedSessionID的会话Cookie，设置域属性为.example.com，表示它可在所有子域名下共享。...总结 Cookie共享是一个有用的技术，允许不同的Web应用之间共享用户会话数据。通过设置Cookie的域属性和路径属性，我们可以控制Cookie的作用域，并在不同应用之间传递数据。

3102 0

密码学系列之:csrf跨站点请求伪造

其他HTTP方法（PUT，DELETE等）只能使用具有同源策略（SOP）和跨域资源共享（CORS）来防止CSRF的XMLHttpRequest请求；但是，在使用Access-Control-Allow-Origin...可以通过使用每个会话CSRF令牌而不是每个请求CSRF令牌来放宽它。...Cookie-to-header token 如果web应用程序主要使用javascript来进行交互的话，可以考虑使用这种方式。...这项技术已经被很多框架实现了，比如Django 和AngularJS，因为令牌在整个用户会话中保持不变，所以它可以与AJAX应用程序很好地协同工作。注意，使用这项技术，必须确保同源政策。...提交表单后，站点可以检查cookie令牌是否与表单令牌匹配。同源策略可防止攻击者在目标域上读取或设置Cookie，因此他们无法以其精心设计的形式放置有效令牌。

2.6K2 0

六种Web身份验证方法比较和Flask示例代码

一旦通过身份验证，就会为它们分配不同的角色（如、等），从而向它们授予对系统的特殊权限。...基于会话的身份验证使用基于会话的身份验证（或会话 Cookie 身份验证或基于 Cookie 的身份验证），用户的状态存储在服务器上。...许多框架（如Django）开箱即用地提供了此功能。缺点它是有状态的。服务器跟踪服务器端的每个会话。用于存储用户会话信息的会话存储需要在多个服务之间共享才能启用身份验证。...的 HTTP 身份验证如何使用 Flask 登录为您的应用程序添加身份验证基于会话的身份验证，带 Flask，适用于单页应用烧瓶中的CSRF保护 Django 登录和注销教程 Django 基于会话的单页应用身份验证...由于您可以获得额外的安全层，因此建议将OTP用于涉及高度敏感数据的应用程序，例如网上银行和其他金融服务。

7.5K4 0

Django框架理解和使用常见问题

如请求过来执行process_request, view，process_response方法 2、Django、Tornado、Flask各自的优势 Django：Django无socket，django...9、CORS跨域资源共享首先会发送"预检"opption"，请求，如果"预检"成功，则发送真实数据。...然后代理向原始服务器转交请求并将获得的内容返回给客户端。...HDFS有高容错性的特点，并且设计用来部署在低廉的硬件上；而且它提供高吞吐量来访问应用程序的数据，适合那些有着超大数据集的应用程序。...会话中间件：django.contrib.sessions.middleware.SessionMiddleware 开启会话支持，session支持中间件，加入这个中间件，会在数据库中生成一个django_session

1.3K2 0

django 1.8 官方文档翻译： 13-9-1 如何使用会话

虽然这很方便，但是在某些架构中存储会话在其它地方会更快，所以可以配置Django 来存储会话到你的文件系统上或缓存中。...虽然序列化这些值相当简单直接（django.core.serializers.json.DateTimeAwareJSONEncoder 可能帮得上忙），编写一个解码器来可靠地取出相同的内容却能困难。...例如，返回一个datetime 时，它可能实际上是与datetime 格式碰巧相同的一个字符串）。...我们使用这个例子来演示如何利用会话对象来工作，而不是一个完整的logout()实现。设置测试的Cookie 为了方便，Django 提供一个简单的方法来测试用户的浏览器时候接受Cookie。...如果该攻击者具有bad.example.com的控制权，那么他可以使用这个域名来发送他的会话ID给你，因为子域名允许在*.example.com上设置Cookie。

1.2K2 0

Java Web 33道面试题

对于其他浏览器，如Netscape、FireFox 等，理论上没有长度限制，其限制取决于操作系统的支持。（3）POST 的安全性要比GET 的安全性高。...session 对象存储特定用户会话所需的属性及配置信息。当用户在应用程序的 Web 页之间跳转时，存储在 Session 对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。...Cookie 和session 的不同点：（1）无论客户端做怎样的设置，session 都能够正常工作。当客户端禁用 cookie 时将无法使用 cookie。...Access-Control-Allow-Origin 值是否和当前的地址相同，匹配成功后才继续响应处理，否则报错缺点：忽略 cookie，浏览器版本有一定要求 3、代理跨域请求前端向发送请求，经过代理...，部分浏览器要配置放开跨域限制 5、修改 document.domain 跨子域相同主域名下的不同子域名资源，设置 document.domain 为相同的一级域名缺点：同一一级域名；相同协议；相同端口

2542 0

众多Python Web框架比较，哪个适合你，你就用哪个！

安全性：提供原生安全措施（如跨站点请求伪造（CSRF）保护和使用加密cookie的会话管理）的框架获得更高的分数。...例如，用户管理可在大多数网站上找到，因此Django将其作为标准元素提供。Django本身具有这些功能，而不必创建自己的系统来跟踪用户帐户，会话，密码，登录/注销，管理员权限等。...Django的文档站点从多个角度深入研究框架的各个方面。使用Python 3或其他语言，正确的安全性，实现常见的Web应用程序组件（如会话或分页），生成站点地图，它们都被覆盖。...Web2py最大的吸引力在于其内置的开发环境。当设置Web2py实例时，将获得一个Web界面，实际上是一个在线Python应用程序编辑器，可以在其中配置应用程序的组件。...在Pyramid应用程序中捆绑debugtoolbar扩展，将在应用程序生成的每个网页上获得一个可点击图标，该图标生成有关应用程序执行的详细信息，包括发生错误时的详细回溯。

4.6K2 0

Web Security 之 CSRF

执行该操作涉及发出一个或多个 HTTP 请求，应用程序仅依赖会话cookie 来标识发出请求的用户。没有其他机制用于跟踪会话或验证用户请求。没有不可预测的请求参数。...执行此操作后，攻击者通常能够触发密码重置并完全控制用户的帐户。应用程序使用会话 cookie 来标识发出请求的用户。没有其他标记或机制来跟踪用户会话。...例如，staging.demo.normal-website.com 域上的 cookie 设置函数可以放置提交到 secure.normal-website.com 上的 cookie 。...vulnerable-website.com 如果应用程序验证 Referer 中的域以预期值开头，那么攻击者可以将其作为自己域的子域： http://vulnerable-website.com.attacker-website.com...在这种情况下，即使应用程序本身设计使用的是 POST 方法，但它实际上也会接受被切换为使用 GET 方法的请求。出于上述原因，不建议仅依赖 SameSite Cookie 来抵御 CSRF 攻击。

2.3K1 0

Session、Cookie、Token三者关系理清了吊打面试官

还有一种是 Cookie的 Secure 和 HttpOnly 标记，下面依次来介绍一下会话 Cookies 上面的示例创建的是会话 Cookie ，会话 Cookie 有个特征，客户端关闭时 Cookie...例如，如果设置 Domain=mozilla.org，则 Cookie 也包含在子域名中（如developer.mozilla.org）。...通过在每次产生新的请求时对用户数据进行身份验证来解决此问题。所以 JWT 和 Session Cookies 的相同之处是什么？...因此 JWT 要比 Session Cookies 具有更强的可扩展性。 JWT 支持跨域认证 Session Cookies 只能用在单个节点的域或者它的子域中有效。...如果你有企业级站点，应用程序或附近的站点，并且需要处理大量的请求，尤其是第三方或很多第三方（包括位于不同域的API），则 JWT 显然更适合。

2.1K2 0

一文彻底搞懂cookie、session、token、jwt！

每个域的cookie个数是受限的，但是不同浏览器的限制不同：最新版IE和Edge限制每个域不超过50个cookie；最新版Firefox限制每个域不超过150个cookie；最新版Opera限制每个域不超过...如果cookie总数超过了单个域的上线，浏览器就会删除之前的cookie。不同浏览器方案不同，IE和Opera删除最近最少使用的；Firefox随机删除之前的cookie。...值：存储在当前cookie里的字符串值。域： cookie的有效域。发送到这个域的所有请求都应该包含对应的cookie，也可能包含子域。...为了绕过浏览器对每个域cookie数的限制，有些开发者提出了子cookie的概念。...要访问同一个localStorage对象，页面必须来着同一个域（子域不可以）、在相同的端口上使用相同的协议。

2K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云