0
我在我的應用程序中有一個非常特殊的登錄功能,所以而不是插件我使用我自己的代碼。在rails和安全會話
在我的控制器我有類似
def login
...
session[:customer_id] = id
end
我使用的CookieStore(默認)。所以它是安全的?如果有人編輯cookies會怎麼樣?他能用另一個身份證模仿別人嗎?
A
回答
1
消息摘要是包含在cookie來確保數據的完整性:在不知道包含在散列密鑰,用戶不能改變他的USER_ID。使用config/environment.rb中的預生成祕密生成新應用程序。爲您正在升級的舊應用設置您自己的設置。
請參閱http://api.rubyonrails.org/v2.3.8/classes/ActionController/Session/CookieStore.html。還請注意這句話:
如果你有會話數據超過4K或不希望自己的數據是對用戶可見,選擇另一個會話存儲。
在你的情況下,它肯定沒關係,你可以使用CookieStore而不用擔心。
相關問題
- 1. 會話管理和安全
- 2. PHP會話和安全
- 3. 會話,cookie和安全
- 4. .htaccess和安全會話?
- 5. Cookie會話和安全
- 6. 餅乾,會話和安全
- 7. PHP REMOTE_ADDR和安全會話
- 8. 會話安全
- 9. 安全會話cookie爲Rails應用
- 10. 安全在ASP.NET會話
- 11. 會話安全性?
- 12. asp.net會話安全
- 13. Codeigniter會話安全
- 14. php會話安全
- 15. suPHP安全會話
- 16. PHP會話安全
- 17. PHP - 會話 - 安全
- 18. Rails和會話
- 19. 安全和靈活的跨域會話
- 20. Servlet的會話cookie篡改和安全
- 21. 用於cookie和會話的php安全
- 22. PHP - 會話安全性和可靠性
- 23. Spring安全註銷和最大會話
- 24. ASP.NET MVC 4和會話安全漏洞
- 25. PHP安全會話和用戶登錄
- 26. 休眠會話和線程安全
- 27. CouchApp/CouchDB中的會話和安全性?
- 28. PHP/MySQL安全登錄和會話
- 29. 長身份驗證會話和安全
- 30. 大氣2.0+和春季安全會話