1
據我瞭解,存儲會話的策略之一是將其存儲在cookie中。有一兩件事,我不從文檔理解:會話和cookie如何在Rails 4中工作?
爲了防止會話哈希篡改,摘要是從與服務器端祕密的 會話計算並插入 cookie的末尾。
這是什麼意思?他們如何防止這種情況發生,如果我從其他用戶那裏獲得cookie,並在瀏覽器中使用它,我不能假裝我是其他用戶?我想我不明白什麼會話哈希篡改手段。
A
回答
2
他們如何防止,如果我從另一個用戶那裏得到一個cookie,而我 在我的瀏覽器中使用它,我不能假裝我是另一個用戶?
這被稱爲會話劫持,涵蓋在http://guides.rubyonrails.org/security.html#session-hijacking。要緩解這一建議的方法是「在你的應用程序配置文件總是迫使SSL連接」,就像這樣:
config.force_ssl = true
整個http://guides.rubyonrails.org/security.html是絕對值得一讀,爲更多像這樣的善良。
相關問題
- 1. 會話和cookie如何工作?
- 2. Rails 3會話和cookie如何堅持會話ID Cookie
- 3. Rails 4中的會話4
- 4. 如何製作Cookie會話?
- 5. rails/devise如何處理cookie會話?
- 6. 如何在Rails 3中調試會話和cookie?
- 7. Rails 3:禁用會話cookie
- 8. 在子域下工作的會話cookie
- 9. 檢查會話和cookie不能在PHP中工作
- 10. 會話cookie和asp.net
- 11. 未設置Rails會話Cookie
- 12. PHP會話和cookie
- 13. Rails和Sinatra共享會話不工作
- 14. 如何刪除會話cookie
- 15. PHP cookie和會話
- 16. Connect的會話中間件的簽名cookie如何工作?
- 17. Cookie和會話在towerjs
- 18. 會話cookie和www
- 19. Web會話如何在這個rails項目中工作?
- 20. 會話如何在Ruby on Rails中工作?
- 21. 在Rails中實現會話> 4K 4
- 22. 會話和cookie中expressjs
- 23. 如何使用devise + omniauth + rails 3清除facebook會話和cookie?
- 24. PHP,會話Cookie和Internet Explorer
- 25. 如何在瀏覽器中關閉瀏覽器以銷燬會話和cookie 4
- 26. 如何清除會話cookie
- 27. 如何在tomcat中更改會話cookie?
- 28. 如果cookie被禁用,如何使zend框架會話工作?
- 29. 會話,cookie和安全
- 30. 會話如何在Coldfusion中工作?
還值得注意的是,使用純粹基於cookie的會話方法不允許用戶手動使會話失效(註銷)。該cookie在到期前仍然是有效的會話。 – Slicedpan 2014-08-28 07:56:20
不錯 - 我稍後會在閱讀這篇文章,謝謝! – 2014-08-28 09:17:39
謝謝。我其實已經閱讀過這些指南,但我仍然對以下內容有所懷疑。如果我進入那個人的電腦,並且我複製這個cookie,並把它放到我的瀏覽器中,我就可以假裝我是他,對嗎?或者''digest''會幫助避免這種情況?具體來說,這部分''爲了防止會話哈希篡改,摘要是根據服務器端祕密的會話計算出來的,並插入cookie的末尾 - 這意味着什麼? – 2014-08-28 16:58:21