Warning: file_get_contents(/data/phpspider/zhask/data//catemap/4/jsp/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Ruby on rails 我如何获得designe';s Rememberable模块是否仅对RememberMe cookie使用http_?_Ruby On Rails_Xss_Devise_Remember Me_Httponly - Fatal编程技术网
Fatal编程技术网
  • ruby-on-rails/
  • Ruby on rails 我如何获得designe';s Rememberable模块是否仅对RememberMe cookie使用http_?

Ruby on rails 我如何获得designe';s Rememberable模块是否仅对RememberMe cookie使用http_?

ruby-on-rails

Ruby on rails 我如何获得designe';s Rememberable模块是否仅对RememberMe cookie使用http_?,ruby-on-rails,xss,devise,remember-me,httponly,Ruby On Rails,Xss,Devise,Remember Me,Httponly,rails会话cookie默认为HttpOnly,但Deviate的可记忆模块设置的记住用户令牌cookie不可用 据我所知,发送cookie时会向用户发出一个新的会话cookie,因此它肯定会受到XSS的攻击 那么有没有办法将其设置为HttpOnly?在@camonz on#rubyonrails的帮助下,我想出了这个猴子补丁: 在Desive 1.1.3中,cookie选项是硬编码的,所以我认为一个猴子补丁就足够了 然而,Desive 1.2rc看起来将允许配置,因为它引入了资源.cook

rails会话cookie默认为
HttpOnly
,但Deviate的可记忆模块设置的
记住用户令牌
cookie不可用

据我所知,发送cookie时会向用户发出一个新的会话cookie,因此它肯定会受到XSS的攻击

那么有没有办法将其设置为
HttpOnly

在@camonz on#rubyonrails的帮助下,我想出了这个猴子补丁:

在Desive 1.1.3中,cookie选项是硬编码的,所以我认为一个猴子补丁就足够了

然而,Desive 1.2rc看起来将允许配置,因为它引入了
资源.cookie\u选项
(例如,从用户模型中提取cookie\u选项,因此您应该能够以某种方式将其设置在那里-还没有弄清楚)

另外,我还没有弄明白如何测试这个。要在Chrome中手动测试,请切换到设置cookie的选项卡,使用Alt+Cmd+I打开Developer Tools,切换到存储选项卡,单击“Cookies”(在我的例子中是localhost)下的项目,然后查看HTTP列。如果cookie是HttpOnly,则会有一个勾号。作为参考,rails会话cookie,默认情况下称为
\u session\u id
,默认情况下仅为HttpOnly。

现在在Desive的主分支中也有一个补丁使其成为默认版本,因此它应该很快就会出现。