1
默认导轨会话cookie为HttpOnly,但Devise的可记忆模块设置的Cookie不是remember_user_token。如何让Devise的Rememberable模块使用http_only记住我的cookie?
据我所知,cookie发送时会导致用户被发出一个新的会话cookie,所以它肯定会受到XSS的影响。
那么有没有办法将它设置为HttpOnly?
A
回答
2
随着@camonz对#rubyonrails的帮助下,我想出了这个猴子补丁: https://gist.github.com/749289
在设计1.1.3 cookie的选项进行硬编码,以便猴子补丁是我所能想到会工作。但是,Devise 1.2rc看起来像允许配置,因为它拉入了resource.cookie_options(例如,从用户模型中拉取cookie_options,所以你应该能够以某种方式设置它 - 还没有计算出来)。
P.S.我还没有想出如何测试这个呢。要在Chrome中手动测试,切换到选项卡,将Cookie设置为,使用Alt + Cmd + I打开Developer Tools,切换到存储选项卡,单击“Cookie”(本地主机)下的项目,然后查看HTTP柱。如果Cookie是HttpOnly,将会出现勾号。默认情况下,rails会话cookie默认为_session_id,仅供HttpOnly参考。
相关问题
- 1. 记住我的cookie
- 2. 如何使用Cucumber来测试Devise的Rememberable功能?
- 3. Bcrypt'记住我'cookie值
- 4. Devise和OmniAuth记住OAuth
- 5. 记住我cookie的解码过程
- 6. 如何以安全的方式使用Cookie记住用户?
- 7. 如何让我的页面记住用户的上次操作?
- 8. 记住并验证用户使用Cookie
- 9. 用于“记住我”Cookie的哈希或标记?
- 10. 如何记住我cookie的会话生活时间?
- 11. 使用jQuery cookie记住菜单位置
- 12. JQuery - 使用Cookie记住切换状态
- 13. 记住与Auth模块的会话吗?
- 14. 让我的网站记住变量
- 15. 在joomla中,我们如何增加“记住我”Cookie时间
- 16. 如何让我的Ninject模块干燥?
- 17. “记住我” - cookie中保存什么? -PHP
- 18. 在C中记住我持久Cookie#
- 19. 记住我cookie代码点火器
- 20. 记住我Cookie最佳实践?
- 21. ASP.NET身份,“记住我”和Cookie超时
- 22. 如何使用js-cookie记住所选元素
- 23. 如何让new_session_path(resource_name)使用devise工作?
- 24. 如何让WebClient使用Cookie?
- 25. 如何让AnkhSVN记住我的SVN + SSH密码?
- 26. 是否可以使用jQuery Cookie实现“记住我”?
- 27. 在Devise Rails 4中可以记住
- 28. 如何使用javascript访问cookie中的用户ID:Rails,Devise,Page Caching
- 29. Cookie记住下拉选择
- 30. Spring Security:如何以编程方式清除“记住我”cookie?
该要点现在也有一个规范。 – jim 2010-12-22 09:54:36
现在Devise的主分支中还有一个补丁程序,所以它应该在即将推出的版本中。 https://github.com/plataformatec/devise/pull/735#issuecomment-634501 – jim 2010-12-26 05:08:58