个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
是devise通过正常的 http://连接容易受到 session 劫持吗?我无法从文档中弄清楚它。
最佳答案
是的。Rails 管理 session 的默认方式很容易被劫持。
这是因为它将客户端进一步需要的所有信息传输到客户端,以在 HTTP cookie 中识别自己。大多数情况下,任何能够拦截 HTTP 连接的人都可以从 Rails 的角度假设客户端的身份。
最简单的对策是仅通过 HTTPS 为您的网站提供服务,并让 Rails 发出安全 cookie,这会告诉浏览器仅通过 HTTPS 发送该 cookie。 security guide有更多有用的提示。
关于ruby-on-rails - rails : Is devise vulnerable to session hijacking?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12874582/
27
4
0
我是一名优秀的程序员,十分优秀!