在 Rails 控制器中,我可以这样设置 cookie:
cookies[:foo] = "bar"
并指定“安全”(仅限 https)标志如下:
cookies[:foo, :secure => true] = "bar"
:secure 默认为假。如何让 cookie 在应用程序范围内默认安全?
这是在 Rails 2.3.8 上
【问题讨论】:
标签: ruby-on-rails ssl cookies https ruby-on-rails-5
ActionController/ActionDispatch 无需猴子补丁,force_ssl 有副作用(例如当behind an ELB 时)。
实现安全cookie最直接的方法是修改config/initializers/session_store.rb:
MyApp::Application.config.session_store(
:cookie_store,
key: '_my_app_session',
secure: Rails.env.production?
)
【讨论】:
secure: true,然后您可以验证cookie是否正确生成。然后可以改回Rails.env.production?
您可以按照上述某些答案中的说明执行此操作(使用config/initializers/session_store.rb 文件中的secure 选项):
MyApp::Application.config.session_store :cookie_store, key: '_my_app_session',
secure: Rails.env.production?
这只会保护会话 cookie,但其他 cookie 将不安全。
如果您想默认保护 Rails 应用程序中的所有 cookie,您可以使用 secure_headers gem。只需将 secure_headers gem 添加到您的 Gemfile 中,bundle install gem 并使用以下内容创建一个 config/initializers/secure_headers.rb 文件:
SecureHeaders::Configuration.default do |config|
config.cookies = {
secure: true, # mark all cookies as "Secure"
}
end
默认情况下,这将使 Rails 应用中的所有 cookie 安全。
您还可以添加这些推荐配置并设置httponly 和samesite 选项:
SecureHeaders::Configuration.default do |config|
config.cookies = {
secure: true, # mark all cookies as "Secure"
httponly: true, # mark all cookies as "HttpOnly"
samesite: {
lax: true # mark all cookies as SameSite=lax
}
}
end
【讨论】:
强制 SSL 并为整个 Ruby on Rails 启用安全 cookie 应用程序,在您的环境文件中启用 force_ssl,例如 生产.rb。
# config/environments/production.rb
config.force_ssl = true
如果您需要使用 Ruby on Rails 支持 HTTP 和 HTTPS 流量 应用程序,为您的应用程序设置安全 cookie 标志,以便 会话 cookie 仅通过 HTTPS 发送。
结果是您无法再通过 HTTP 维护会话状态,但您至少可以保护自己免受会话劫持攻击。
# config/initializers/session_store.rb
# set secure: true, optionally only do this for certain Rails environments (e.g., Staging / Production
Rails.application.config.session_store :cookie_store, key: '_testapp_session', secure: true
Here是same的视频教程。
【讨论】:
您应该查看 rack-ssl-enforcer gem。我只是在寻找一个干净的答案,它解决了与您使用的 Rails 版本无关的问题,而且它非常可配置。
【讨论】:
secure_cookies gem。
# session only available over HTTPS
ActionController::Base.session_options[:secure] = true
【讨论】:
undefined method 'session_options' for ActionController::Base:Class (NoMethodError)
从 rails 3.1 开始,根据the rails security guide,您可以在application.rb 中简单地设置以下内容:
config.force_ssl = true
这会强制 cookie 仅通过 https 发送(我也假设其他所有内容)。
【讨论】:
config.force_ssl 的 主要 目的是只允许 rails 应用程序通过 SSL 工作,但它也在 cookie 上启用 secure 标志。在设置此配置之前,请确保您对它的其余效果没问题:stackoverflow.com/questions/15676596/…
感谢@knx,你让我走上了正确的道路。这是我想出的猴子补丁,它似乎正在工作:
class ActionController::Response
def set_cookie_with_security(key, value)
value = { :value => value } if Hash != value.class
value[:secure] = true
set_cookie_without_security(key, value)
end
alias_method_chain :set_cookie, :security
end
你怎么看?
【讨论】:
快速而肮脏的解决方案:我认为可以通过修改动作包 cookie 模块 (actionpack/lib/action_controller/cookies.rb) 中的 []= 方法来实现
来自:
def []=(name, options)
if options.is_a?(Hash)
options = options.inject({}) { |options, pair| options[pair.first.to_s] = pair.last; options }
options["name"] = name.to_s
else
options = { "name" => name.to_s, "value" => options }
end
set_cookie(options)
end
到:
def []=(name, options)
if options.is_a?(Hash)
options.merge!({:secure => true})
options = options.inject({}) { |options, pair| options[pair.first.to_s] = pair.last; options }
options["name"] = name.to_s
else
options = { "name" => name.to_s, "value" => options }
end
set_cookie(options)
end
【讨论】: