繁体 English 中英

Rails 4：Devise是否通过在登录后重置会话来解决会话固定问题？

[英]Rails 4: Does Devise address session fixation by resetting session after login?

原文 2015-07-04 03:55:48 2 1 ruby-on-rails/ security/ session/ ruby-on-rails-4/ devise

我正在浏览Rails安全指南，我试图通过在登录后重置用户会话并将新会话分配给用户来确定是否需要解决会话固定问题。

我现在正在使用Devise 3.4.1。 Devise会自动解决这个问题吗？ 如果没有，我需要更改什么来保护我的网站免受会话固定？

1 个解决方案

截至2010年11月20日， Devise不容易受到会话固定攻击（相关博客文章）。

其作者之一Jose Valim在关于CSRF令牌固定攻击的博客文章中证实了这一点。

登录时设计重置会话

[英]Devise Resetting Session On Login

注册后Rails devise无法启动会话

[英]Rails devise does not start session after registration

[英]session fixation

升级到Rails 3.2.2和Devise 2.0.4之后，注销不会破坏会话

[英]After upgrading to Rails 3.2.2 and Devise 2.0.4, logout does not destroy session

Rails / Devise 如何将 session 与用户联系起来？

[英]How does Rails / Devise relate a session to a user?

Rails 4 - 设计不绑定会话

[英]Rails 4 - Devise not binding session

设计Rails会话ID

[英]Devise rails session ID

销毁会议，Rails设计

[英]Destroy Session, Rails Devise

已经登录如何覆盖用户会话+设计+ Rails

[英]Already login How to override user session + devise + rails

在Rails 5.0中使用Devise登录/会话验证错误消息

[英]Working with Devise Login / Session Validation Error Messages in Rails 5.0

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 登录时设计重置会话注册后Rails devise无法启动会话会话固定升级到Rails 3.2.2和Devise 2.0.4之后，注销不会破坏会话 Rails / Devise 如何将 session 与用户联系起来？ Rails 4 - 设计不绑定会话设计Rails会话ID 销毁会议，Rails设计已经登录如何覆盖用户会话+设计+ Rails 在Rails 5.0中使用Devise登录/会话验证错误消息

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM