Zalogowałem się do administratora django. Kiedy otworzę firebug JS console i spróbuję wydrukować ciasteczka z document.cookie
otrzymuję tylko plik cookie csrftoken
. Ale po otwarciu preferencji przeglądarki Firefox> Prywatność> Usuń plik cookie ... widzę plik cookie sessionid
.Dlaczego nie mogę uzyskać "sessionid" po stronie klienta?
Jak uzyskać to po stronie klienta?
Po prostu zwróć uwagę, że powodem, dla którego nie jest zalecana praktyka, jest to, że jeśli Twoja strona jest w jakiś sposób podatna na XSS, to atakujący może użyć jej do kradzieży identyfikatorów sesji. Nie jest to oczywiście możliwe, jeśli identyfikator sesji nie jest wystawiony na działanie JS. –
Kolejna notka z dokumentów: "Nie ma zbytniego usprawiedliwienia, żeby to zostawić: jeśli twój kod zależy od odczytu plików cookie sesji z JavaScript, prawdopodobnie robisz to źle." – cs01