ruby-on-rails – 使用Rails进行安全和不安全的会话

正如您在对@ nmott的回答的评论中提到的,一种方法是同时拥有安全和不安全的cookie.

为了我的目的,我没有引用两个相同的会话,而是发现一个不安全的Rails会话以及一个仅引用当前登录用户的user_id的安全签名cookie就足够了.换句话说,我不需要会话的完整副本,只需要与不安全会话匹配的每个用户(在安全cookie中)的唯一内容.

在通过SSL(并且具有当前用户)访问的每个操作中,我检查安全签名cookie user_id是否与存储在不安全Rails会话中的user_id匹配.如果匹配,我认为一切都很好并通过引用不安全的会话正常进行.如果没有匹配,则显示错误消息.我使用before_filter方法完成此操作,如下所示：

def verify_secure_user_cookie
  # If we have a current user and the request is SSL,we want to make sure the user
  # has a secure cookie that matches the current user's id.  This prevents attackers
  # from side-jacking a session by obtaining a cookie from a non-SSL request.
  if current_user and request.ssl?
    unless cookies.signed[:user_id] == current_user.id
      raise StandardError,"Invalid secure user cookie"
    end
  end
end

据推测,合法用户将始终拥有安全cookie,并且永远不会看到错误消息.攻击者只能复制不安全的cookie,并且无法访问安全cookie.在这种情况下,他可以支持会话并访问非SSL页面,但他无法使用受害者的会话访问SSL页面.

因此,您的非SSL页面仍然容易受到侧面攻击,但您的SSL页面不容易受到会话侧面的影响.为了使其有效,您必须为所有需要安全的操作强制执行SSL(无论是来自窃听还是来自会话侧面).在控制器中使用force_ssl是一种方法,或者您可以自己滚动.