标签: ruby-on-rails security session-fixation
因为Rails存储每个cookie的哈希以防止篡改,所以在框架下是否可以进行会话固定?如何在不破坏此哈希的完整性并使cookie无效的情况下,攻击者如何更改另一个用户的session_id以匹配他自己的session_id(从而改变cookie)?我是网络安全的新手,请原谅我的问题,如果它天真。
我假设XSS javascript只能改变cookie客户端,也许这是错误的。