ruby-on-rails - rails 4 : Does Devise address session fixation by resetting session after login?

标签 ruby-on-rails security session ruby-on-rails-4 devise

我正在阅读 Rails 安全指南,并试图确定是否需要通过在登录后重置用户 session 并将新 session 分配给用户来解决 session 固定问题。

我现在正在使用 Devise 3.4.1。 Devise 会自动处理这个问题吗?如果不是,我需要更改什么以保护我的网站免受 session 固定?

最佳答案

this commit on November 20th, 2010 起,Devise 不容易受到 session 固定攻击。 (related blog post)。

这一点得到了其作者之一 Jose Valim 在 blog post 中的证实。关于 CSRF token 固定攻击。

关于ruby-on-rails - rails 4 : Does Devise address session fixation by resetting session after login?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31216721/

上一篇:multithreading - C++0x : thread, gcc 还是我的错误?

下一篇:regex - 我如何让 vim 突出显示多余的空白和所有选项卡?

相关文章:

ruby-on-rails - Rails 简单形式未定义方法 `model_name' 为 nil :NilClass

ruby-on-rails - 制作 Rails 应用程序多语言的最佳实践

ruby-on-rails - 目录 : Securing a Closed API

python - Django:TypeError:必须是字符串,而不是 datetime.date

java - spring session 只能通过一个IP访问吗?

ruby-on-rails - 无法找到已弃用的 RAILS_ROOT 的使用位置

ruby-on-rails - 在哪里可以下载适用于 Mac OS X 10.4 的 Xcode

javascript - Parse.com 安全 : can I save an object and claim it's another user's?

javascript - Res.cookie 与 document.cookie,它们在安全性方面有什么优势吗?

session - 如何配置resin4将session保存到redis

©2024 IT工具网  联系我们