我正在阅读 Rails 安全指南,并试图确定是否需要通过在登录后重置用户 session 并将新 session 分配给用户来解决 session 固定问题。
我现在正在使用 Devise 3.4.1。 Devise 会自动处理这个问题吗?如果不是,我需要更改什么以保护我的网站免受 session 固定?
最佳答案
自 this commit on November 20th, 2010 起,Devise 不容易受到 session 固定攻击。 (related blog post)。
这一点得到了其作者之一 Jose Valim 在 blog post 中的证实。关于 CSRF token 固定攻击。
关于ruby-on-rails - rails 4 : Does Devise address session fixation by resetting session after login?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31216721/