随机问题但是,任何人都可以在浏览器中为网站破解并创建会话cookie吗?
我问的原因是因为,我正在努力在rails中创建回调。我的回调是检查是否
before_action :employee_logged_in? [:edit, :update]
...
Private
def employee_logged_in?
if session[:current_employee_id].nil?
flash[:danger] = "Employee needs to be logged in"
redirect_to login_path
end
end
因此,通过这种方式,如果有人能够创建会话cookie并将其放在浏览器上,那么从技术上讲,他们可以访问任何受限制的页面(在本例中,编辑和更新路径)
这是安全还是我想将会话cookie存储在数据库中并针对特定会话cookie针对数据库进行检查?
答案 0 :(得分:3)
Cookie商店使用摘要来防止篡改。如果用户更改current_employee_id,则服务器将知道会话已被编辑而不使用它。
来自Ruby on Rails Security Guide
为了防止会话哈希篡改,将从具有服务器端密钥的会话计算摘要并将其插入到cookie的末尾。