<分区>
<分区>
当用户登录我的 Rails 站点时,它会发布到安全主机(例如“https://secure.yourname.com”)。 session 数据存储在数据库中,cookie 仅包含 session ID。问题是,当用户返回到非 https 页面时,例如主页(例如“http://www.yourname.com”),用户似乎已注销。我相信这样做的原因是为每个主机(www 与安全)存储了一个单独的 cookie。这是正确的吗?
保持站点的 http 和 https 部分之间的 session 的最佳安全方法是什么?有谁知道解决这个问题的插件吗?
网站在 Heroku 上运行。
最佳答案
听起来 cookie 是用 domain=secure.yourname.com
设置的。它需要是 domain=.yourname.com
。
在Firefox中,可以查看当前网站设置的cookies:工具->页面信息->安全->查看Cookies
我不知道如何在 Horoku 中进行此更改。我建议搜索“Heroku cookie 子域”。
关于ruby-on-rails - 在 rails 应用程序上安全地保持 https ://secure. yourname.com 和 http ://www. yourname.com 之间的 session ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2978874/