那些遇到过的问题

Rails:设计是否容易受到会话劫持的影响?

Kev*_*n K 6 ruby-on-rails devise

设计是否容易受到正常http://连接的会话劫持的影响?我无法从文档中找出它.

Ste*_*ven 8

是.Rails管理会话的默认方式很容易被劫持.

这是因为它向客户端传输客户端在HTTP cookie中进一步识别自身所需的所有信息.在大多数情况下,任何可以拦截HTTP连接的人都可以从Rails的角度来假设客户端的身份.

最简单的对策是仅通过HTTPS为您的站点提供服务,并让Rails发出securecookie,告知浏览器只能通过HTTPS发送该cookie.该安全指南有更多有用的技巧.

Pra*_*thy 5

正如Devise讨论组的这封电子邮件中所提到的,应用程序的安全设置位于主应用程序的域中(在本例中,我假设为Rails).

请查看RailsCast剧集 - 会话劫持的危险,以处理Rails应用程序级别的会话劫持.

Rails安全指南中关于会话劫持的部分是另一个必读资源.

Devise通过:secure => trueconfig/initializers/devise.rbRails应用程序的文件中设置来强制仅强制使用SSL .

归档时间:

查看次数:

2442 次

最近记录:

13 年,1 月 前
相关归档
你能在弹性beanstalk环境中运行rails控制台或rake命令吗? 43
价格字段的字符串,小数或浮点数据类型? 37
使用Ruby on Rails从原始IP地址获取用户国家/地区名称 33
服务器无法在rails 3生产环境中找到公用文件夹 30
Google :: Apis :: AuthorizationError(未经授权) 18
主动管理员自定义 14
如何将ASCII(ISO/IEC 8859-1)中的数据导入到我的Rails/PGSQL数据库? 13
运行Rspec时"没有这样的文件加载"错误 11
Rails:附加URL参数和删除URL参数 11
在Rails中设计gem:生成user_root_path 9
难疑归档
为什么char []比字符串更适合密码? 3298
在JavaScript中编码URL? 2392
在HTML5 localStorage中存储对象 2386
Spring中的@ Component,@ Repository和@Service注释有什么区别? 1969
为什么要使用getter和setter/accessors? 1472
你什么时候应该使用escape而不是encodeURI/encodeURIComponent? 1371
如何在Linux shell脚本中提示是/否/取消输入? 1352
为特定提交生成git补丁 1144
如何使用Python连接MySQL数据库? 1117
获取插入行的标识的最佳方法是什么? 1056