Configuration CookieStore配置是否可能工作不正常？_Configuration_Ruby On Rails 4_Cookiestore

Configuration CookieStore配置是否可能工作不正常？

configuration ruby-on-rails-4

Configuration CookieStore配置是否可能工作不正常？,configuration,ruby-on-rails-4,cookiestore,Configuration,Ruby On Rails 4,Cookiestore,即使我将CookieStore配置为： MyApp::Application.config.session_store :cookie_store, { key: '_myapp_session', cookie_only: false, httponly: false } 我向你提出了一个发帖请求 _myapp_session=#某些_session_ID 真实性令牌=#认证令牌 http头[X-CSRF-Token]设置为#AUTH_Token 最后，用户未经身份验证，将使

即使我将CookieStore配置为：

MyApp::Application.config.session_store :cookie_store, {
  key: '_myapp_session',
  cookie_only: false,
  httponly: false
}

我向你提出了一个发帖请求

_myapp_session=#某些_session_ID
真实性令牌=#认证令牌
http头[X-CSRF-Token]设置为#AUTH_Token

最后，用户未经身份验证，将使用新的身份验证令牌和会话id创建新会话

有人能给我一些建议吗？不幸的是，目前的4.0分支不支持此选项。尽管此选项被强制为TRUE，并且我在rails源代码中没有找到使用此选项的任何代码

使独立POST请求工作的方法是创建专用中间件，该中间件将添加适当的会话cookie。它必须插入到适当的位置，因为中间件的顺序非常重要

因为它在CSRF安全方面非常危险，我们必须在我们的中间件中添加相同的验证，这将把潜在的风险限制到最小