[英]Rails: Is devise vulnerable to session hijacking?
是。 Rails管理会话的默认方式很容易被劫持。
这是因为它向客户端传输客户端在HTTP cookie中识别自身所需的所有信息。 在大多数情况下,任何可以拦截HTTP连接的人都可以从Rails的角度来假设客户端的身份。
最简单的对策是仅通过HTTPS为您的站点提供服务,并让Rails发出secure cookie,告知浏览器只能通过HTTPS发送该cookie。 安全指南提供了更多有用的提示。
正如Devise讨论组的电子邮件中所提到的,应用程序的安全性设置在主应用程序的域中(在本例中,我假设是Rails)。
请查看RailsCast剧集 - 会话劫持的危险,以处理Rails应用程序级别的会话劫持。
Rails安全指南中有关会话劫持的部分是另一个必读资源。
Devise通过在Rails应用程序的config/initializers/devise.rb文件中设置:secure => true来提供强制仅SSL的cookie。
Rails 4.2.4(Devise / Warden)中的无意会话劫持,Phusion Passenger 5.0.24
[英]Unintentional Session Hijacking in Rails 4.2.4 (Devise / Warden), Phusion Passenger 5.0.24
Rails:Devise Session 到期,SessionsController < Devise::SessionsController
[英]Rails: Devise Session Expiry with SessionsController < Devise::SessionsController
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
