_________
|A |
| _____ |
| |B | |
| |____| |
|________|
用户在基于Django的现场验证B.如何突破一个框架而不会在django注销?
站点A尝试的iframe中显示站点B。
当前,站点B将始终以这种方式显示用户。我认为这是django的一些安全特性。如何让我的网站在没有用户注销的情况下突破框架?
编辑:经过测试这更多一些,它似乎只发生在网站A也是Django网站。
_________
|A |
| _____ |
| |B | |
| |____| |
|________|
用户在基于Django的现场验证B.如何突破一个框架而不会在django注销?
站点A尝试的iframe中显示站点B。
当前,站点B将始终以这种方式显示用户。我认为这是django的一些安全特性。如何让我的网站在没有用户注销的情况下突破框架?
编辑:经过测试这更多一些,它似乎只发生在网站A也是Django网站。
更改使用settings.py
的SESSION_COOKIE_NAME
财产用于验证cookie的,对于任一站点A或站点B
我不认为这是Django的安全功能。 Django中唯一的东西就是clickjack保护,但它仍然只在dev版本中,并且不能像这样工作。它实际上使网站在现代浏览器的框架中根本不加载。请参阅:
https://docs.djangoproject.com/en/dev/ref/clickjacking/
你肯定有什么在正在实施这种行为你的项目?
更新基于编辑
这更有道理。这是因为Cookie和会话正在互相覆盖。与仅仅继承父框架的未登录状态相比,“登录用户”不是那么简单。
该诀窍。感谢burhan! – hughes 2012-01-06 15:44:04