Open hooopo opened 11 years ago
Rails把session信息默认设置了HTTP only属性,HTTP only cookie不会被Javascript读取,这样即使网站出现XSS漏洞,也不会被Session劫持。保障了用户的账户安全。不过也不是绝对安全,由于HTTP协议是明文传输,最安全的做法是使用HTTPS,在网络传输过程中Cookie数据也是加密的。
PS. HTTP Only Cookie最早由IE6实现(IE也做了不少好事,大家不要总黑他!),现在的主流浏览器都支持。
refs:
其实ie挺好的,前题是新版 都不肯升级一个让人郁闷
@mangege 前几天去网吧 发现默认还是IE6
Rails把session信息默认设置了HTTP only属性,HTTP only cookie不会被Javascript读取,这样即使网站出现XSS漏洞,也不会被Session劫持。保障了用户的账户安全。不过也不是绝对安全,由于HTTP协议是明文传输,最安全的做法是使用HTTPS,在网络传输过程中Cookie数据也是加密的。
PS. HTTP Only Cookie最早由IE6实现(IE也做了不少好事,大家不要总黑他!),现在的主流浏览器都支持。
refs: