从 URL 动态启动会话的最佳方式

Question

我仅在用户单击浏览器中的按钮时才尝试在 Rails 中创建会话。使用 jQuery 解决此问题的最佳方法是什么？

这样的实际用途可能是：

• 防止警报在关闭后再次显示。
• 记住不同阶段的用户信息。
• 在操作完成后保存基本的一次性设置。

我想出了这个：

HTML：

<button id="startSession">Start a Session!</button>  

jQuery:

$("#startSession").click(function() {
  $.ajax({
    url: "/sessions-manager?add=funkysession"
  });
});

然后控制器看起来像：

get "/sessions-manager" do
  name = params[:add].to_sym
  session[name] = true  #=> session[:funkysession] = true

  # A session named "funkysession" has now been started
end

但是，我觉得这种方式很容易被利用。例如，人们可以手动输入/sessions-manager?add=user 并伪造一个用户会话来访问我的应用程序的受保护区域。有没有更安全的方法来开始会话？

Answer 1

我为这个问题找到了两种可能的解决方案。

选项 1：在 AJAX 请求中发送自定义标头

这背后的想法是设置一个自定义 HTTP 标头与实际的 AJAX 请求一起发送，然后将在控制器中进行检查。这意味着人们无法在 Web 浏览器的 URL 栏中手动成功地与 /sessions-manager 路由交互。可以使用 jQuery 轻松设置自定义标题：

$("#startSession").click(function() {
  $.ajax({
    url: "/sessions-manager?add=showpassword",
    beforeSend: function(xhr){xhr.setRequestHeader('foo', 'bar');}
  });
});

现在只需检查您的自定义标头是否存在于控制器中：

get "/sessions-manager" do
  if env["foo"] == "bar"
    // Add session
  else
    halt 401 // Authentication required error
  end
end

关于这种方法的附注：虽然这肯定是保护/sessions-manager 路由的有效方法，但它仍然可能受到损害。知道自己在做什么的人可以使用开发人员工具伪造 HTTP 标头，因此选项 2 可能适合您。尽管如此，这仍然是一个很好的策略，可以作为额外的保护层来实施，只是知道它的限制。

选项 2（首选）：多个会话级别

比特币策划者 Sam Foley 引起我注意的一个更有效的解决方案是限制可以通过/sessions-manager URL 创建的会话范围。这可以通过向您要创建的会话添加另一个级别来轻松实现，即 - 为会话提供父 > 子关系。看看吧：

get "/sessions-manager" do
  session[:userprefs] ||= {} // Set parent session as empty hash
  name = params[:add].to_sym
  session[:userprefs][:name] = true
end

好多了。现在我们可以在应用程序的任何位置（视图或控制器）访问此会话：

if session[:userprefs][:showpassword] 
  "Password is blah"
end 

更重要的是，人们无法伪造现有会话。例如，试图伪造用户会话的人现在将创建一个名为 [:userprefs][:user] 的会话，这实际上是无用的。