Secure Tips learned from Rails——HTTP Only Cookie

[hooopo]

Rails把session信息默认设置了HTTP only属性，HTTP only cookie不会被Javascript读取，这样即使网站出现XSS漏洞，也不会被Session劫持。保障了用户的账户安全。不过也不是绝对安全，由于HTTP协议是明文传输，最安全的做法是使用HTTPS，在网络传输过程中Cookie数据也是加密的。

PS. HTTP Only Cookie最早由IE6实现（IE也做了不少好事，大家不要总黑他！）,现在的主流浏览器都支持。

refs:

1. https://www.owasp.org/index.php/HttpOnly
2. http://guides.rubyonrails.org/security.html#session-hijacking
3. http://en.wikipedia.org/wiki/HTTP_cookie#Secure_and_HttpOnly

[mangege]

其实ie挺好的,前题是新版 都不肯升级一个让人郁闷

[hooopo]

@mangege 前几天去网吧 发现默认还是IE6