Django admin'e giriş yapıyorum. firebug JS konsolunu açıp document.cookie
ile çerezleri yazdırmayı denediğimde, yalnızca csrftoken
çerezi aldım. Ancak Firefox tercihlerini> Gizlilik> Çerezi sil ... seçeneğini açtığımda, sessionid
çerezini görebiliyorum.İstemci tarafında neden 'sessionid' alamıyorum?
İstemci tarafında nasıl bulunur? o HTTPOnly ayarlı varsayılan olarak çünkü
Uygulama önerilmemesinin nedeninin, sitenizin bir şekilde XSS'ye duyarlı olması durumunda, saldırganın oturum kimliklerini çalmak için kullanabileceğini bilmeniz yeterlidir. Tabii ki, oturum kimliği JS arazisine maruz kalmazsa, bu mümkün değildir. –
Dokümanlardan başka bir not: "Bunu bırakmak için fazla bir mazeret yok: ya da kodunuz JavaScript'ten oturum çerezlerini okumaya bağlıysa, muhtemelen yanlış yapıyorsunuzdur." – cs01