祕密包括下列警告不要設置一個祕密檢查Cookie完整性:使用存儲與機架::會議::該<a href="https://github.com/rack/rack/blob/master/lib/rack/session/cookie.rb#L91" rel="nofollow">source</a>從<code>Rack::Session::Cookie</code>餅乾池
提供給機架號的祕密選項::會議::餅乾。 這構成安全威脅。我們強烈建議您 提供保密,以防止該漏洞可能從精雕細琢 餅乾。
當使用Rack::Session::Cookie
模塊,可以設置以這種方式一個祕密:「提供了簡單的基於Cookie的會話管理」
use Rack::Session::Cookie, secret: 'change_me'
不過,我使用Rack::Session::Pool
,這我假設我也需要提供一個祕密,但找不到相關示例。源代碼/文檔也不是很有幫助。有人知道這是否需要完成,以及如果這樣做會如何完成?
'Pool'爲每個客戶端對新的會話,或者如果'生成新的SID。否則會使用相同的SID,直到會話過期(客戶端在到期後停止發送cookie或者會話在後端失效/丟棄)。 – 2014-09-12 02:12:50