Dans Ruby on Rails, comment définir le paramètre httpOnly du cookie de session sur false?Comment définir le paramètre HttpOnly du cookie de session sur false?
Répondre
J'ai compris cela. Dans /config/environment.rb
inclure ce code:
config.action_controller.session = { :httponly => false }
Pour quelle version de rails était-ce? J'essaye dans les rails 3, et obtiens l'erreur suivante: méthode non définie 'session = 'pour ActionController :: Base: Class –
@Peter Cela a été écrit avant RoR 3 pour la version 2.3. Il n'a pas été testé avec 3. – kingjeffrey
J'ai fait une solution de contournement, ici: http://stackoverflow.com/questions/8351871/session-cookie-httponly-false-rails-3-1/8371839#8371839 –
Voici comment je l'ai fait avec Rails 3:
Testapp::Application.config.session_store :cookie_store, key: '_testapp_session', :domain => :all, :httponly => false
Dans Rails 4, vous devez modifier config/initializers/session_store.rb
Rails.application.config.session_store :cookie_store,
key: '_my_app_session', httponly: false
Rails a il est défini par défaut sur true. Je ne recommande pas de le changer car il vous placera les cookies Accessable pour passer de JS comme: document.cookie
Dans Rails 3+ vous pouvez changer les cookies de configuration config/initializers/session_store.rb
:
# Be sure to restart your server when you modify this file.
Rails.application.config.session_store :cookie_store, key: "_my_application_session", httponly: false
- 1. Comment définir le cookie HttpOnly dans Django?
- 2. Définition de HTTPONLY pour le cookie de session ASP classique
- 3. Comment rendre le cookie de session authkit HttpOnly en pylônes?
- 4. Comment définir l'indicateur HttpOnly sur JSF/Richfaces
- 5. C# Obtenir le cookie httponly
- 6. Définir le domaine sur le cookie de session ASP
- 7. comment puis-je tester le cookie httpOnly cookie
- 8. httpOnly Session Cookie + Servlet 3.0 (par exemple Glassfish v3)
- 9. Définition de httponly dans le cookie JSESSIONID (Java EE 5)
- 10. Définir l'expiration du cookie de session de Rack par programme
- 11. Support de cookie httponly dans Apache HttpClient
- 12. Comment désactiver le cookie de session PHP?
- 13. Définition du port de cookie
- 14. Comment obtenir par programme le nom du cookie de session?
- 15. Impossible de modifier le nom du cookie de session php.
- 16. Comment définir ActiveModel :: Base.include_root_in_json sur false?
- 17. Problème de valeur de paramètre de cookie
- 18. cookie php avec paramètre de domaine
- 19. Comment définir un cookie de session php sur tous les sites Web?
- 20. HttpOnly cookies sur google app engine java
- 21. Le cookie de session est réinitialisé par ASP.NET
- 22. Cookie de session d'adhésion ASP.NET
- 23. Forcer les cookies HttpOnly avec JRun/ColdFusion
- 24. Coldfusion Session Cookie
- 25. cookie session PHP sessionid
- 26. Le contrôle utilisateur sur le panneau reste visible lorsque le paramètre est défini sur false
- 27. abandonner la session dans asp.net sur le navigateur fermer..aider cookie de session
- 28. Cookie de session ASP.net perdu ou supprimé
- 29. Persister Textbox dans le cookie/session automatiquement
- 30. Chemin de cookie de session Tomcat 7
PSA: ** Ne le faites pas en production **. Le drapeau 'httponly' est là pour la sécurité. Cela peut sembler signifier "non https", mais cela signifie en réalité "non disponible pour JavaScript". 'httponly' est compatible avec le flag' secure', ce qui signifie "envoyer uniquement des connexions https". Voir https://www.owasp.org/index.php/HttpOnly –