Trang Protecting Your Cookies: HttpOnly giải thích lý do khiến cookie HttpOnly là một ý tưởng hay.Làm cách nào để đặt cờ HttpOnly trên cookie trong Ruby on Rails
Làm cách nào để đặt thuộc tính này trong Ruby on Rails?
Đặt tùy chọn 'http_only' trong băm được sử dụng để đặt cookie
ví dụ:
cookies["user_name"] = { :value => "david", :httponly => true }
hoặc, trong Rails 2:
ví dụ:
cookies["user_name"] = { :value => "david", :http_only => true }
Chỉ cần đặt: http_only thành true như được mô tả trong changelog.
Tôi cũng đã viết một bản vá được bao gồm trong Rails 2.2, mặc định phiên CookieStore được http_only.
Rất tiếc, cookie phiên vẫn theo mặc định cookie thông thường.
Re Laurie của câu trả lời:
Lưu ý rằng tùy chọn được đổi tên thành :http_only-:httponly (không gạch dưới) tại một số điểm.
Trong actionpack 3.0.0, nghĩa là, Ruby on Rails 3, tất cả các tham chiếu đến :http_only đều biến mất.
Điều đó đã ném tôi một lúc.
Nếu bạn có tệp được gọi là config/session_store.rb bao gồm dòng này (Rails 3+), thì nó sẽ tự động được đặt. config/initializers/session_store.rb:
# Be sure to restart your server when you modify this file.
Rails.application.config.session_store :cookie_store, key: "_my_application_session"
Cũng ray cho phép bạn thiết lập phím sau:
: hết hạn-Thời gian mà cookie này hết hạn, như một đối tượng Time.
: bảo mật - Cho dù cookie này chỉ được truyền đến máy chủ HTTPS. Mặc định là sai.
Đường lên - trong đường ray 3 ': tùy chọn http_only' được đổi tên thành': httponly' – WTK