gpt4 book ai didi

ruby-on-rails - 即使通过 HTTP 在 RoR 中的 session cookie 上设置 "secure"标志

转载 作者:行者123 更新时间:2023-12-04 03:58:56 25 4
gpt4 key购买 nike

在 Rails 应用程序中,可以轻松设置 session cookie 以包含 secure cookie 属性,当通过 HTTPS 发送时,以确保 cookie 不会通过非 HTTP 连接泄漏。

但是,如果 Rails 应用程序不使用 HTTPS,而只使用 HTTP,则它似乎根本没有设置 cookie。
虽然这确实有一定道理,但在这种情况下,有一个单独的前端负载平衡器,它负责终止 SSL 连接。从 LB 到 Rails 应用程序,连接仅是 HTTP。

如何强制 Rails 应用程序设置 secure cookie,即使不使用 HTTPS?

最佳答案

根据定义,安全 cookie 不会通过非安全连接发送。

终止上游 SSL 是很常见的,但是您需要传递某些头字段,以便 Rails 知道并且可以做正确的事情。

Here's a document这非常详细地解释了 nginx 的配置。搜索“设置标题”以跳转到描述您需要通过的特定标题的部分。

使用此配置存在安全考虑,例如,如果终止 SSL 的设备与 Rails 主机不在同一个安全 LAN 上,那么您就有漏洞。

关于ruby-on-rails - 即使通过 HTTP 在 RoR 中的 session cookie 上设置 "secure"标志,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14498315/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com