在 Ruby on Rails 中,如何将会话 cookie 的 httpOnly 设置为 false?
【问题讨论】:
httponly 标志是为了安全起见。听起来可能意味着“不是 https”,但实际上意味着“不适用于 JavaScript”。 httponly 与 secure 标志兼容,这意味着“仅通过 https 连接发送”。见owasp.org/index.php/HttpOnly
标签: ruby-on-rails session cookies httponly
我想通了。在/config/environment.rb 中包含此代码:
config.action_controller.session = {
:httponly => false
}
【讨论】:
这就是我使用 Rails 3 的方式:
Testapp::Application.config.session_store :cookie_store, key: '_testapp_session', :domain => :all, :httponly => false
【讨论】:
在 Rails 4 中,您需要编辑 config/initializers/session_store.rb
Rails.application.config.session_store(
:cookie_store,
key: '_socializus_session',
httponly: false,
)
【讨论】:
false 传递密钥:httponly。 (根据此处的其他答案 - 只是要编辑的代码的位置已从 environment.rb 更改为初始化程序)
Rails 将其默认设置为 true。
我不建议更改它,因为它会设置您可以从 JS 更改的 cookie,例如:document.cookie
在 Rails 3+ 中,您可以从 config/initializers/session_store.rb 更改您的 cookie 配置:
# Be sure to restart your server when you modify this file.
Rails.application.config.session_store :cookie_store, key: "_my_application_session", httponly: false
【讨论】: