wha*_*ird 7 ruby-on-rails ruby-on-rails-3
我已完成谷歌尽职调查,无法找到明确的答案.所以,好的堆栈溢出...
如果在rails 3应用程序中,我没有使用cookie来存储会话,那么安全地管理"Application.config.secret_token"是否很重要?此外,它被使用了吗?
secret_token由cookie_store使用,用于存储会话数据客户端. 以下是如何使用已知的secret_token执行任意代码的简要说明.
cookie_store更确切地说ActionDispatch::Session::CookieStore,这是一个机架中间件,可在您设置时将负载装入机架堆栈session_store(:cookie_store).所以,如果你设置的那样:session_store你应该没有设置secret_token.
您可以检查Rails.configuration.middleware以查看所有中间件并确认ActionDispatch::Session::CookieStore不是其中之一.
FWIW,rails 3.2应用程序将在secret_token未设置的情况下启动,但尝试设置会话变量的请求将失败500.我没有确切地追踪故障发生的位置.
但是,如果您没有设置secret_token,并且您没有ActionDispatch::Session::CookieStore机架堆栈,并且您的应用程序似乎正常工作,那么您可以免受该特定攻击.
另一个用途secret_token是摘要认证.
总之,要回答这个问题,如果您没有使用摘要式身份验证,并且不使用cookie_store(例如,通过设置session_store(:cache_store)),secret_token则不重要.
| 归档时间: |
|
| 查看次数: |
708 次 |
| 最近记录: |