代码之家 › 专栏 › 技术社区 › Marek Sapota

Rails秘密令牌

security ruby-on-rails

Marek Sapota · 技术社区 · 14 年前

我很困惑Rails中使用的秘密令牌是什么。有人能解释一下它的用途吗?是否可以将此令牌放入公共源存储库并在生产中使用,或者我应该在部署应用程序之前更改它以防止某些类型的攻击?

1 回复 | 直到 14 年前

jwfearn 14 年前

回答我自己的问题-secret_令牌用于防止Rails中的cookie篡改。每个cookie都保存有一个校验和,因此用户不会修改cookie内容(例如,将保存的用户id更改为窃取某人的帐户)。校验和是基于cookie内容和secret_令牌的,因此如果您使用基于cookie的会话,则应始终确保secret_令牌是真正的secret,否则您不能相信您放入会话中的任何内容都不会更改。

推荐文章

MaSc. H. · 大小与阵列大小

8 月前

David 54321 · 我的密码在pyinstaller.exe中安全吗?

1 年前

Duong Duc Nguyen · 如何检测Windows应用程序(.exe)是否正在向外部发送数据?

1 年前

Michael · 某些Windows客户端上的命名管道安全问题

1 年前

al ice · 具有颤振的鲁棒认证

1 年前

adamency · 是否可以从Go二进制文件的源代码中检索字符串?

1 年前

Tricotou · $.get(code_url)执行返回的代码,不使用eval(),也不将其附加到DOM。jQuery安全性失败?

1 年前

AlboSimo · PayPal Api密钥安全

1 年前

Jordan Regan · 仅在响应中保护HTTP cookie,但不保护请求

1 年前

kellerkindt · 不带查询字符串的Apache2 ProxyPass

1 年前