En Django les sessions utilisent des cookies, et il n'y a pas de fallback possible sur un SESSION_ID passé dans l'URL comme le fait par exemple PHP (il y a des apps pour ça, mais la pratique est considérée peu sécurisée de toute façon).

Or, comme HTTP est stateless, les cookies sont échangés en permanence, on les reçoit par la requête, et on les envoit avec les réponses. Ajoutez à cela qu’un client peut choisir de désactiver le support de cookie, et vous avez là un merveilleux casse-tête.

Commentaires

Vous devez vous inscrire ou vous connecter pour poster un commentaire