Ruby on rails 我如何获得designe';s Rememberable模块是否仅对RememberMe cookie使用http_?
rails会话cookie默认为Ruby on rails 我如何获得designe';s Rememberable模块是否仅对RememberMe cookie使用http_?,ruby-on-rails,xss,devise,remember-me,httponly,Ruby On Rails,Xss,Devise,Remember Me,Httponly,rails会话cookie默认为HttpOnly,但Deviate的可记忆模块设置的记住用户令牌cookie不可用 据我所知,发送cookie时会向用户发出一个新的会话cookie,因此它肯定会受到XSS的攻击 那么有没有办法将其设置为HttpOnly?在@camonz on#rubyonrails的帮助下,我想出了这个猴子补丁: 在Desive 1.1.3中,cookie选项是硬编码的,所以我认为一个猴子补丁就足够了 然而,Desive 1.2rc看起来将允许配置,因为它引入了资源.cook
HttpOnly
,但Deviate的可记忆模块设置的记住用户令牌
cookie不可用
据我所知,发送cookie时会向用户发出一个新的会话cookie,因此它肯定会受到XSS的攻击
那么有没有办法将其设置为
HttpOnly
?在@camonz on#rubyonrails的帮助下,我想出了这个猴子补丁:
在Desive 1.1.3中,cookie选项是硬编码的,所以我认为一个猴子补丁就足够了
然而,Desive 1.2rc看起来将允许配置,因为它引入了资源.cookie\u选项
(例如,从用户模型中提取cookie\u选项,因此您应该能够以某种方式将其设置在那里-还没有弄清楚)
另外,我还没有弄明白如何测试这个。要在Chrome中手动测试,请切换到设置cookie的选项卡,使用Alt+Cmd+I打开Developer Tools,切换到存储选项卡,单击“Cookies”(在我的例子中是localhost)下的项目,然后查看HTTP列。如果cookie是HttpOnly,则会有一个勾号。作为参考,rails会话cookie,默认情况下称为
\u session\u id
,默认情况下仅为HttpOnly。现在在Desive的主分支中也有一个补丁使其成为默认版本,因此它应该很快就会出现。