在 Rails 2 中设置安全会话 Cookie答案

【问题标题】：Set secure session Cookie in Rails 2在 Rails 2 中设置安全会话 Cookie
【发布时间】：2017-03-03 07:50:15
【问题描述】：

我有一个 Rails 2 应用程序。我想将会话 cookie 设置为安全。默认情况下，它只会是 http。为了实现相同，我在 config/initializers/session_store.rb 中添加了 :secure=> true ，如下所示：

ActionController::Base.session = {
  :key         => '_app_session',
  :secret      => '123.......',  
  :secure      => true
}

但它不起作用。然而，同样的事情在 Rails 3 中运行良好。

【问题讨论】：

How can I make cookies secure (https-only) by default in rails?的可能重复
@lcguida：感谢您提供可能重复问题的链接。然而，它们都不适用于 Rails 2 应用程序。
@vipulKumar 安全 cookie 仅适用于 https。因此，它可能仅在您使用 HTTPS url 访问应用程序时才有效。究竟什么“不起作用”？
@nvugteveen：我的应用程序只有 https url。我希望我的“会话”cookie 是安全的。如果我按照上述方式进行配置，它不会使我的会话 cookie 安全。然而，相同的配置使 cookie 在 Rails 3/4 中是安全的
@vipulKumar “安全”是什么意思？您是试图防止篡改，还是试图阻止用户读取 cookie 的内容？

【解决方案1】：

这在过去对我有用。在 config/environment.rb 中：

config.action_controller.session = {
  :session_key => '_app_session',
  :secret      => '123.......',
  :secure      => true
}

【讨论】：