我注意到Rails 2.2(目前是边缘)支持setting HttpOnly on the session cookie。
有没有办法在Rails 2.1应用程序上设置它而不移动到edge / 2.2?
答案 0 :(得分:1)
正如您所注意到的那样,它不受支持,但您当然可以monkey-patch使用Rails来执行您想要的操作。实际上,在这种情况下,直接修补Rails v.mookie-patching的区别很小,因为当你升级到2.2时,它们会被删除/恢复。
在这两种情况下,您都会将应用差异视为自己修补2.1的指南 - 通过直接应用补丁(模数任何2.1 /边缘差异),或者在环境加载后从您自己的代码重新打开这些类应用更改。
答案 1 :(得分:1)
我有written a monkey patch从Rails 2.2的补丁中添加对Rails 2.1的支持。
我没有测试除Rails 2.1以外的任何东西,你的里程可能会有所不同!
答案 2 :(得分:0)
在cookie的选项哈希中将http_only选项设置为true:
cookies['visits'] = { :value => '20', :http_only => true }