ruby-on-rails - 如果整个站点都通过 ssl 提供服务,签名的 cookie 会提高安全性吗?
问题描述
使用 Rails,我正在完成一个教程,作者提倡使用以下方式存储用户 ID:cookies.permanent.signed[:user_id] = user.id
这似乎很明智,但我很好奇:如果整个事情都是通过 ssl 提供的,这真的会增加我的网站的安全性吗?
据我了解,cookie 与所有其他响应内容一起被加密。签名的 cookie 将如何改善问题?
解决方案
签名 cookie 可以保护您免受恶意客户端操纵值,而不仅仅是中间人。
无论您的 SSL 连接有多安全,[没有签名的 cookie] 都无法阻止我将本地浏览器 cookie 更改为包含user_id=1
. 很多时候这不是什么大问题,因为应用程序可以将 cookie 值视为不受信任,但签名意味着它们可以被信任:客户端获得该值的唯一方法是服务器先前发送它。
推荐阅读
- docker - 使用 Docker 和 Jenkins 自动化 Flyway 迁移
- c# - 在 AutoFixture 4.8.0 中使用内部 JSON 构造函数创建公共类型,具有许多构造函数参数
- django - 如何使用 Django 中的自定义管理命令将数据(来自 CSV 文件)填充到 sqlite 数据库中?
- excel - 如果没有选择列表框多选,VBA显示消息
- excel - 将单元格 B 复制到单元格 A 中,如果 B 包含 A
- .htaccess - codeigniter 使用 #! 复制页面 包含在每个页面的链接中
- ios - 应用转移后的 Firebase ios 身份验证凭据
- python - 没有从 Python 中的多线程中获益
- maven - 无法检测到要发送到的 AMPS 插件
- azure - Azure 表存储未保存所有对象属性