簡體 English 中英

Rails 4：Devise是否通過在登錄后重置會話來解決會話固定問題？

[英]Rails 4: Does Devise address session fixation by resetting session after login?

原文 2015-07-04 03:55:48 2 1 ruby-on-rails/ security/ session/ ruby-on-rails-4/ devise

我正在瀏覽Rails安全指南，我試圖通過在登錄后重置用戶會話並將新會話分配給用戶來確定是否需要解決會話固定問題。

我現在正在使用Devise 3.4.1。 Devise會自動解決這個問題嗎？ 如果沒有，我需要更改什么來保護我的網站免受會話固定？

1 個解決方案

截至2010年11月20日， Devise不容易受到會話固定攻擊（相關博客文章）。

其作者之一Jose Valim在關於CSRF令牌固定攻擊的博客文章中證實了這一點。

登錄時設計重置會話

[英]Devise Resetting Session On Login

注冊后Rails devise無法啟動會話

[英]Rails devise does not start session after registration

[英]session fixation

升級到Rails 3.2.2和Devise 2.0.4之后，注銷不會破壞會話

[英]After upgrading to Rails 3.2.2 and Devise 2.0.4, logout does not destroy session

Rails / Devise 如何將 session 與用戶聯系起來？

[英]How does Rails / Devise relate a session to a user?

Rails 4 - 設計不綁定會話

[英]Rails 4 - Devise not binding session

設計Rails會話ID

[英]Devise rails session ID

銷毀會議，Rails設計

[英]Destroy Session, Rails Devise

已經登錄如何覆蓋用戶會話+設計+ Rails

[英]Already login How to override user session + devise + rails

在Rails 5.0中使用Devise登錄/會話驗證錯誤消息

[英]Working with Devise Login / Session Validation Error Messages in Rails 5.0

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 登錄時設計重置會話注冊后Rails devise無法啟動會話會話固定升級到Rails 3.2.2和Devise 2.0.4之后，注銷不會破壞會話 Rails / Devise 如何將 session 與用戶聯系起來？ Rails 4 - 設計不綁定會話設計Rails會話ID 銷毀會議，Rails設計已經登錄如何覆蓋用戶會話+設計+ Rails 在Rails 5.0中使用Devise登錄/會話驗證錯誤消息

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM