ruby-on-rails – 即使通过HTTP,也可以在RoR中的会话cookie上设
发布时间:2020-12-17 01:19:16 所属栏目:百科 来源:网络整理
导读:在Rails应用程序中,当通过HTTPS发送以确保cookie不会通过非HTTP连接泄露时,可以轻松地将会话cookie设置为包括安全cookie属性. 但是,如果Rails应用程序不使用HTTPS,而只使用HTTP,则它似乎根本不设置cookie. 虽然这确实有意义,但在这种情况下,有一个单独的前端
|
在Rails应用程序中,当通过HTTPS发送以确保cookie不会通过非HTTP连接泄露时,可以轻松地将会话cookie设置为包括安全cookie属性.
但是,如果Rails应用程序不使用HTTPS,而只使用HTTP,则它似乎根本不设置cookie. 即使不使用HTTPS,如何强制Rails应用程序设置安全cookie? 解决方法
根据定义,安全cookie不会通过非安全连接发送.
终止SSL上游是很常见的,但是您需要传递某些头字段,以便Rails知道并且可以做正确的事情. Here’s a document为nginx详细解释了配置.搜索“设置标题”以跳转到描述您需要通过的特定标题的部分. 使用此配置有一些安全注意事项,例如,如果终止SSL的设备与Rails主机不在同一个安全LAN上,那么您就有一个漏洞. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |