我在Rails 4.1.1应用程序中使用:active_record_store作为session_store。我需要在我的应用程序中使会话cookie安全(仅限于HTTPS)。在开发环境中尝试了下面的代码,但没有为我工作。MyApp::Application.config.session_store :session_store, key: '_session_id', secure: true
config.force_ssl
浏览 0提问于2018-08-08得票数 1
', secure: :trueCache-Control:no-cacheRails.applicati
浏览 9提问于2018-08-10得票数 0
然而,当应用程序试图加载这个页面时,巫师的requires_login方法失败,因为current_user返回false (然后触发not_authenticated并引导我回到首页)。这只会在生产中发生,如果我在开发中运行站点,一切都会正常工作。我已经尝试删除所有运行的其他before_filters,但仍然得到相同的问题,所以这不是什么问题。
浏览 1提问于2013-04-17得票数 1
回答已采纳
1回答
我有一个问题,是在我的网页浏览器的控制台弹出,而我想显示一张照片从Cloudinary。正是这样的消息:通过指定其SameSite属性来指示是否在跨站点请求中发送cookie。由于cookie的SameSite属性未设置或无效,因此默认为SameSite=Lax,这将阻止cookie在跨站点请求中发送。此行为防止用户数据意外泄漏到第三方和跨站点请求伪造。通过更新cookie的属性来解决此问题:指定SameSite=None并在跨站点请
浏览 3提问于2020-09-02得票数 1
我将cookie存储设置为域=> :all,就像我可以在文档中找到的那样,它似乎起作用了,因为devise的身份验证跨多个域工作。MyApp::Application.config.session_store :cookie_store, :key => '_MyApp.com_session', :domain => :all然而,当我尝试向cookie写入时,它总是写下子域...我不明白:我以最简单的方式编写cookie:
cook
浏览 1提问于2011-01-31得票数 4
当我们使用FileStore作为缓存存储,DalliStore作为会话存储时,我们可以运行Rails.cache.clear,它可以简单地清除缓存,而不会在会话中出现任何问题。现在我们将缓存存储移动到mem_cache_store,如果我们运行Rails.cache.clear,我们将清除缓存,但也会注销每个用户,销毁所有会话。
这是预期的行为吗?
浏览 0提问于2016-10-02得票数 1
我只有在生产环境中才会遇到会话超时的问题,Heroku。甚至我将config/initializers/devise.rb中的timeout_in设置为20.years,并检查cookie的过期时间是2038年,但当我在大约15分钟内什么都没做时,就会被迫注销# config/application.rb
config.session_store :cache_store, key: "_myapp_session_#{Rails
浏览 31提问于2018-12-14得票数 3
如果在rails 3应用程序中,我没有使用cookie来存储会话,那么安全地管理"Application.config.secret_token“是否重要?此外,它还被使用了吗?
浏览 1提问于2013-08-29得票数 7
回答已采纳
我们正在使用带有devise的rails来提供用户身份验证。最近,我们将session_store配置中cookie_store的域更改为.example.com。现在,在极少数情况下,我们会得到带有域subdomain.example.com的会话cookie。这与rack.session cookie一起发生,该cookie也具有错误的域。因为我们无法解释为什么有时cookie具有完整的域,所以我们怀疑它与rac
浏览 5提问于2018-04-25得票数 0
我已经知道如何在rails应用程序中设置过期时间,这在web上已经有很好的说明。但我想知道的是,在rails中会话过期的默认持续时间是多少,如果有,在哪里可以找到它?
浏览 0提问于2013-04-25得票数 19
回答已采纳
session_store没有帮助。此外,我还尝试过设置来自控制器的cookie (所有有根据的过期选项):在这两种方式中,所有会话和cookie在关闭浏览器窗口后都会被删除--它们仅用于浏览器会话。我尝试过几乎所有在互联网上创建的变体--没有运气(
我的配置</e
浏览 3提问于2012-05-31得票数 2
2回答
我的session_store.rb中有以下配置 :key => "_secure_session,在application_controller.rb中 return { :only_path => false, :port => 443, :protocol => 'ht
浏览 0提问于2013-03-07得票数 4
我有一个Lagom应用程序,在这个应用程序中,我通过在项目中添加play过滤器依赖来启用play安全头。现在,当我到达服务端点时,它会给出错误: p.filters.CSRF - CSRF检查失败,因为在标头中找不到令牌。在play文档中,当以下所有内容都为真时,Play将需要CSRF检查:
请求方法不是GET、HEAD或选项。请求有一个或多个Cookie或授权头。CORS筛选器未
浏览 1提问于2019-02-14得票数 0
回答已采纳
我管理着一个运行双堆栈的Rails 4.2应用程序: SSL和非SSL。当通过HTTPS请求资源时,我想为cookie设置安全标志,而当通过纯HTTP请求资源时,我想省略该标志。有没有办法在Rails中实现这一点(会话cookie,代码中手动发送的cookie)?尤其是在使用启用了可记忆功能的Devise时。
浏览 0提问于2015-09-09得票数 4
我正在尝试在我的网站dapshare.com上的cookies工作的根地址和'www‘子域。许多其他的stackoverflow答案(以及关于这个主题的优秀的Railscast视频)都建议将这一行添加到session_store.rb中:这似乎没有什么区别:如果我在dapshar
浏览 1提问于2011-04-12得票数 7
回答已采纳
1回答
在Rails4中,是否可以为会话设置一个(远)到期日期,使其成为持久的?附注:我想使用会话而不是cookie,因为在Rails中默认是安全的。
浏览 0提问于2013-07-22得票数 1
1回答
这个应用程序在Heroku上的开发和我的分阶段环境上都很好。
但是,当用户使用安全页面登录到网站时,生产中存在两个问题。在最新的Chrome和Firefox上,浏览器开始在每次请求上强制执行HTTPS请求。不管用户是否已登录。即使我在nginx上禁用SSL,浏览器仍然尝试HTTPS并抱怨它无法连接。主页提供一些不安全的动态嵌入项,并使用不安全的CDN,因此我想将该页面作为非SSL提供。每当我试图通过nginx重写或Rails<
浏览 1提问于2012-01-02得票数 1
回答已采纳
1回答
Rails的默认会话存储是cookie_store。这使得会话存储在客户端(如果我错了请纠正我)。
/application/
浏览 6提问于2021-02-19得票数 8
在rails 3.0.0应用程序中,我使用Design1.1.RC0进行用户身份验证。由于此版本的remember_user_token存在问题,并且我们的登录过程发生在(安全的)子域上,当用户登录时,不会设置该cookie。只有在涉及子域的生产中才会发生这种情况:应用程序在本地测试时将正确地设置remember_user_token cookie。但是,如果我关闭浏览器并在登录<
浏览 2提问于2012-07-20得票数 3
回答已采纳
1回答
安全登录会话的高安全性会话原则
、、、、
),也可以存储在cookie中,或者两者都存储。这个设置为on的选项会对服务器说:“嘿,我希望您只在cookie中存储会话ID”。如果session.cookie_secure = 1设置为on,则如果检测到HTTPS连接,会话ID将存储到cookie 仅中。如果是,会话cookie也将始终通过HTTPS发送,因此如何将此选项设置</em
浏览 7提问于2017-05-16得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
