Configuration CookieStore配置是否可能工作不正常?
即使我将CookieStore配置为:Configuration CookieStore配置是否可能工作不正常?,configuration,ruby-on-rails-4,cookiestore,Configuration,Ruby On Rails 4,Cookiestore,即使我将CookieStore配置为: MyApp::Application.config.session_store :cookie_store, { key: '_myapp_session', cookie_only: false, httponly: false } 我向你提出了一个发帖请求 _myapp_session=#某些_session_ID 真实性令牌=#认证令牌 http头[X-CSRF-Token]设置为#AUTH_Token 最后,用户未经身份验证,将使
MyApp::Application.config.session_store :cookie_store, {
key: '_myapp_session',
cookie_only: false,
httponly: false
}
我向你提出了一个发帖请求
- _myapp_session=#某些_session_ID
- 真实性令牌=#认证令牌
- http头[X-CSRF-Token]设置为#AUTH_Token
有人能给我一些建议吗?不幸的是,目前的4.0分支不支持此选项。尽管此选项被强制为TRUE,并且我在rails源代码中没有找到使用此选项的任何代码 使独立POST请求工作的方法是创建专用中间件,该中间件将添加适当的会话cookie。它必须插入到适当的位置,因为中间件的顺序非常重要 因为它在CSRF安全方面非常危险,我们必须在我们的中间件中添加相同的验证,这将把潜在的风险限制到最小