Подтвердить что ты не робот

Django: HTTPS только для страницы входа?

Я просто добавил это промежуточное ПО SSL на свой сайт http://www.djangosnippets.org/snippets/85/, который я использовал для защиты только моей страницы входа, чтобы пароли не отправлялись в ясном тексте. Конечно, когда пользователь переходит от этой страницы, он внезапно вышел из системы. Я понимаю, почему это происходит, но есть ли способ передать cookie на HTTP, чтобы пользователи могли оставаться в системе?

Если нет, есть ли простой способ использовать HTTPS для страницы входа (и, возможно, страницы регистрации), а затем оставаться на HTTPS, если пользователь вошел в систему, но переключитесь обратно на HTTP, если пользователь этого не делает Войдите в систему?

Существует много страниц, которые видны как для зарегистрированных пользователей, так и для нет, поэтому я не могу просто назначать определенные страницы как HTTP или HTTPS.

4b9b3361

ОТВЕТЫ

Ответ 1

На самом деле, изменение промежуточного программного обеспечения, похожего на него, похоже, работает очень хорошо:

class SSLRedirect:

    def process_view(self, request, view_func, view_args, view_kwargs):
        if SSL in view_kwargs:
            secure = view_kwargs[SSL]
            del view_kwargs[SSL]
        else:
            secure = False

        if request.user.is_authenticated():
            secure = True

        if not secure == self._is_secure(request):
            return self._redirect(request, secure)

    def _is_secure(self, request):
        if request.is_secure():
            return True

        #Handle the Webfaction case until this gets resolved in the request.is_secure()
        if 'HTTP_X_FORWARDED_SSL' in request.META:
            return request.META['HTTP_X_FORWARDED_SSL'] == 'on'

        return False

    def _redirect(self, request, secure):
        protocol = secure and "https://secure" or "http://www"
        newurl = "%s.%s%s" % (protocol,settings.DOMAIN,request.get_full_path())
        if settings.DEBUG and request.method == 'POST':
            raise RuntimeError, \
        """Django can't perform a SSL redirect while maintaining POST data.
           Please structure your views so that redirects only occur during GETs."""

        return HttpResponsePermanentRedirect(newurl)

Ответ 2

Лучше всего обеспечить все. Половина безопасности кажется надежной, но полностью нет. Проще говоря: делая это, вы обманываете своих конечных пользователей, предоставляя им ложное чувство безопасности.

Так что либо не используйте ssl, либо лучше: используйте его полностью. Накладные расходы для сервера и конечного пользователя незначительны.