据我所知,存储会话的策略之一是将其存储在cookie中。从文档中我有一件事我不明白:
为了防止会话哈希篡改,从中计算摘要 会话与服务器端的秘密并插入到最后 cookie中。
这是什么意思?他们如何防止这种情况,如果我从另一个用户那里得到一个cookie,并且我在浏览器中使用它,我不能假装我是另一个用户?我想我不明白会话哈希篡改意味着什么。
答案 0 :(得分:2)
如果我从其他用户那里获得cookie,我们如何防止这种情况呢? 在我的浏览器中使用它,我不能假装我是其他用户?
这称为会话劫持,并在http://guides.rubyonrails.org/security.html#session-hijacking中介绍。建议的缓解方法是“始终在应用程序配置文件中强制使用SSL连接”,如下所示:
config.force_ssl = true
整个http://guides.rubyonrails.org/security.html绝对值得一读,为了更多这样的善良。