Lou*_*ell 0 security cookies ruby-on-rails
使用 Rails,我正在完成一个教程,其中作者主张使用以下内容存储用户 ID: cookies.permanent.signed[:user_id] = user.id
这似乎很明智,但我很好奇:如果整个事情都通过 ssl 提供服务,这是否真的提高了我网站的安全性?
我的理解是 cookie 与所有其他响应内容一起加密。签名 cookie 将如何改善问题?
签名 cookie 可保护您免受操纵该值的恶意客户端的侵害,而不仅仅是中间人。
无论您的 SSL 连接有多安全,[没有签名 cookie] 都无法阻止我将本地浏览器 cookie 更改为包含user_id=1. 很多时候这不是什么大问题,因为应用程序可以将 cookie 值视为不受信任,但签名意味着它们可以被信任:客户端获得该值的唯一方法是服务器之前发送过它。
| 归档时间: |
|
| 查看次数: |
33 次 |
| 最近记录: |