Rails 4:Devise 是否通过登录后重置会话来解决会话固定问题?
Rails 4: Does Devise address session fixation by resetting session after login?
我正在阅读 Rails 安全指南,并试图确定是否需要通过在登录后重置用户会话并将新会话分配给用户来解决会话固定问题。
我现在正在使用 Devise 3.4.1。 Devise 会自动处理这个问题吗?如果不是,我需要更改什么以保护我的网站免受会话固定?
从 this commit on November 20th, 2010 (related blog post 开始,Devise 不容易受到会话固定攻击。
其作者之一 Jose Valim 在 blog post 关于 CSRF 令牌固定攻击的文章中证实了这一点。
我正在阅读 Rails 安全指南,并试图确定是否需要通过在登录后重置用户会话并将新会话分配给用户来解决会话固定问题。
我现在正在使用 Devise 3.4.1。 Devise 会自动处理这个问题吗?如果不是,我需要更改什么以保护我的网站免受会话固定?
从 this commit on November 20th, 2010 (related blog post 开始,Devise 不容易受到会话固定攻击。
其作者之一 Jose Valim 在 blog post 关于 CSRF 令牌固定攻击的文章中证实了这一点。