Можно ли в django предотвратить повторное использование сессии одного домена злоумышленником для получения доступа к другому домену?

У меня есть проект django, служащий двум разным целям. На одном поддомене, назовем его public.example.com, я предоставляю непривилегированным пользователям доступ к порталу для редактирования своего профиля и настроек. На другом домене, private.example.com, я предоставляю пользователю доступ к некоторым функциям управления.

У меня стандартные настройки куки сессии django, поэтому, когда я вхожу в систему public.example.com и затем пытаюсь получить доступ к private.example.com, я получаю перенаправление на страницу входа. Это нормально и ожидаемо, потому что браузер не отправляет сессионный куки ни на какой другой домен, кроме public.example.com.

Если я скопирую сессионную cookie, которая отправляется на public.example.com и подделаю запрос, сделанный на private.example.com так, чтобы отправить cookie public на домен private, django ответит 200 OK и отобразит страницу так, как будто я пользователь, который вошел в этот домен.

Я не могу найти никакой документации, которая говорит мне, что сессии ограничены доменами, из которых они происходят, кроме поведения браузера по умолчанию, ограничивающего cookies соответствующими доменами.

Можно ли предотвратить такой нежелательный доступ, не обслуживая проект на двух разных инстансах с двумя разными базами данных?

Вернуться на верх