Rails Brakeman:会话cookie应该仅设置为HTTP

Question

我正在使用Brakeman gem来分析我的ruby-on-rails应用程序代码。

它有以下High level security warning：

Warning Type    | Message                                                |
--------------------------------------------------------------------------
Session Setting | Session cookies should be set to HTTP only near line 3 |

根据文档，将httponly属性设置为true，而不是false(默认值)，在config/initializers/session_sotre.rb中删除此警告(它对我有效)。

有人能解释一下发生了什么吗？为甚麽要解决这个问题呢？将值设置为true会导致问题吗？

Answer 1

默认情况下，Rails在会话cookie上设置HTTPOnly标志。此标志不允许JavaScript读取cookie (详情见这里)，从而阻止跨站点脚本攻击访问cookie。在会话cookie的情况下，它通过跨站点脚本防止窃取/劫持会话。

在会话存储选项中设置httponly: false将关闭此保护。您可以将其设置为true或根本不设置它(在这种情况下，默认值仍然是true)。

但是，如果应用程序出于某种原因需要从JavaScript访问会话cookie，则必须关闭httponly选项。然而，这应该是相当罕见的。