Django HTTPS 和 HTTP 会话

Question

我使用 Django 1.1.1 和 ssl 重定向中间件。

通过 HTTPS 创建的会话数据（身份验证等）在站点的 HTTP 部分中不可用。

无需将整个站点设置为 HTTPS 即可使其可用的最佳方法是什么？

Answer 1

这是设计使然，您无法轻易更改。

当通过 HTTP 查看同一站点时，浏览器不会发送通过 HTTPS 发送的 Cookie/身份验证。最好的解决方案可能是将用户从 HTTPS 页面重定向到设置身份验证 cookie 的 HTTP 页面。

请记住，这种未经身份验证的 cookie 通过网络以明文形式发送，会使您的用户遭受欺骗和重放攻击。这对于您的应用程序可能并不重要。

Answer 2

一直有类似的问题。 #django IRC 上的用户 iiie 向我指出了此设置：

• SESSION_COOKIE_DOMAIN (https://docs.djangoproject.com/en/dev/ref/settings/#session-cookie-domain )

将此选项设置为 ".domain.com"< /code> 允许我在 HTTP/HTTPS 之间以及跨域和主机/子域共享会话。

我可以想象一种情况，人们不想要这两者，但它现在解决了我的问题。