首页 / 知识

如何在Ruby on Rails的cookie上设置HttpOnly标志

2023-04-15 22:15:00

保护Cookie页面：HttpOnly解释了为什么制作HttpOnly cookie是一个好主意。

如何在Ruby on Rails中设置此属性？

在用于设置cookie的哈希中设置\\'http_only \\'选项

例如

1	cookies["user_name"] = { :value =>"david", :httponly => true }

或者，在Rails 2中：

例如

1	cookies["user_name"] = { :value =>"david", :http_only => true }

关于劳里的答案：

请注意，该选项在某些时候从:http_only重命名为:httponly(无下划线)。

在actionpack 3.0.0(即Ruby on Rails 3)中，对:http_only的所有引用均已消失。

那让我有一阵子了。

只需按照更改日志中的说明将：http_only设置为true。

如果您有一个名为config / session_store.rb的文件(包括此行)(第3条)，则它已自动设置。
config/initializers/session_store.rb：

1 2	# Be sure to restart your server when you modify this file. Rails.application.config.session_store :cookie_store, key:"_my_application_session"

还可以通过rails设置以下键：

：expires-此cookie过期的时间，作为一个时间对象。

：secure-此cookie是否仅传输到HTTPS服务器。默认值为false。

我还编写了Rails 2.2中包含的补丁程序，该补丁程序默认将CookieStore会话设置为http_only。

很遗憾，默认情况下，会话cookie仍然是常规cookie。