我怎么设置的HttpOnly标志在一个饼干在红宝石在轨道上

Question

该网页 保护你的Cookies:HttpOnly 解释了为什么使HttpOnly饼干是一个好主意。

如何设置这一财产的红宝石在轨道上?

Answer 1

设置'http_only在哈希用来设置一个饼干

例如

cookies["user_name"] = { :value => "david", :httponly => true }

或者，在轨道2:

例如

cookies["user_name"] = { :value => "david", :http_only => true }

Answer 2

重新Laurie的回答：

请注意，选项是从改名为 :http_only 要 :httponly (没有下划线)在某一点。

在actionpack为3.0.0，这是红宝石上轨3，所有提到 :http_only 都不见了。

这把我的一段时间。

Answer 3

只是集：http_only到真实的描述 志.

Answer 4

如果你的文件被称为config/session_store.rb包括这条线(轨3+)，然后是自动设定。config/initializers/session_store.rb:

# Be sure to restart your server when you modify this file.
Rails.application.config.session_store :cookie_store, key: "_my_application_session"

还轨道允许你设置以下项：

:期 - 时间在这个饼干到期时，作为一个时间的目的。

：安全 - 这是否饼干只是传送到HTTPS服务器。默认是错误的。

Answer 5

我还写了一个修补程序，包括在轨2.2，其默认的CookieStore会议http_only.

不幸的是session cookies仍是默认规则的饼干。