1
默認導軌會話cookie爲HttpOnly,但Devise的可記憶模塊設置的Cookie不是remember_user_token。如何讓Devise的Rememberable模塊使用http_only記住我的cookie?
據我所知,cookie發送時會導致用戶被髮出一個新的會話cookie,所以它肯定會受到XSS的影響。
那麼有沒有辦法將它設置爲HttpOnly?
A
回答
2
隨着@camonz對#rubyonrails的幫助下,我想出了這個猴子補丁: https://gist.github.com/749289
在設計1.1.3 cookie的選項進行硬編碼,以便猴子補丁是我所能想到會工作。但是,Devise 1.2rc看起來像允許配置,因爲它拉入了resource.cookie_options(例如,從用戶模型中拉取cookie_options,所以你應該能夠以某種方式設置它 - 還沒有計算出來)。
P.S.我還沒有想出如何測試這個呢。要在Chrome中手動測試,切換到選項卡,將Cookie設置爲,使用Alt + Cmd + I打開Developer Tools,切換到存儲選項卡,單擊「Cookie」(本地主機)下的項目,然後查看HTTP柱。如果Cookie是HttpOnly,將會出現勾號。默認情況下,rails會話cookie默認爲_session_id,僅供HttpOnly參考。
相關問題
- 1. 記住我的cookie
- 2. 如何使用Cucumber來測試Devise的Rememberable功能?
- 3. PHP記住我,COOKIE
- 4. Bcrypt'記住我'cookie值
- 5. PHP記住我Cookie問題
- 6. 記住我登錄Cookie
- 7. 如何使用MVC 4和「記住我」功能檢查cookie?
- 8. 記住cookie
- 9. 建議防盜記住我的cookie
- 10. Devise和OmniAuth記住OAuth
- 11. 如何以安全的方式使用Cookie記住用戶?
- 12. 如何讓我的頁面記住用戶的上次操作?
- 13. 如何讓Android應用程序記住我的用戶名?
- 14. 如何使用cookie記住jQuery變量的真或假狀態
- 15. 如何使用cookie記住網頁的文字大小?
- 16. 使用Cookie記住用戶偏好
- 17. 記住並驗證用戶使用Cookie
- 18. 如何讓日誌記住功能,而不使用Cookie C#ASP .NET MVC?
- 19. ASP.NET web api使用Cookie的「記住我」功能
- 20. 如何記住我cookie的會話生活時間?
- 21. 用於「記住我」Cookie的哈希或標記?
- 22. JQuery - 使用Cookie記住切換狀態
- 23. 使用jQuery cookie記住菜單位置
- 24. 記住與Auth模塊的會話嗎?
- 25. 讓我的網站記住變量
- 26. 在joomla中,我們如何增加「記住我」Cookie時間
- 27. 如何讓我的Ninject模塊乾燥?
- 28. 記住我Cookie最佳實踐?
- 29. 在C中記住我持久Cookie#
- 30. ASP.NET身份,「記住我」和Cookie超時
該要點現在也有一個規範。 – jim 2010-12-22 09:54:36
現在Devise的主分支中還有一個補丁程序,所以它應該在即將推出的版本中。 https://github.com/plataformatec/devise/pull/735#issuecomment-634501 – jim 2010-12-26 05:08:58