我最近升级到Rails 4并切换到加密的cookie作为会话存储。不幸的是,这似乎意味着重放攻击是可能的,即如果用户退出,任何cookie都不会失效,并且可以用于在没有用户/通行证的情况下进行身份验证。据我所知,这是加密cookie如何工作的一个缺陷(如果我错了请赐教!),所以我的问题是:是否有一个可接受的解决方案来阻止使用加密cookie的重放攻击?
答案 0 :(得分:0)
经过一些研究和一些修补,我提出了以下解决方案。
只要cookie不能被篡改,那么这应该是安全的。欢迎任何想法/意见