Tag: 会话 cookie

Rails 3 ActiveRecordStore session_id篡改

我正在Rails 3.0.9中共同开发一个简单的Web应用程序，我已经意识到可能通过恶意请求篡改session_id。 请注意，这是我的第一个RoR应用程序，因此我的概念可能完全错误。 当前的应用程序function需要会话，所以我转向ActiveRecordStore会话存储， 安装它并开始在原始工作流程中进行测试。 我注意到Rails框架创建了名为_session_id cookie和一些随机类似哈希的字符串的值（在DB SESSION表中，此字符串对应于session_id列）。 如果更改了cookie中的值，例如使用Firebug，则当前会话ID将更改为随cookie提供的数据（使用request.session_options[:id]检查），并且更改将传播到数据库表，从而创建新的会话记录具有上述参数。 虽然这不会对会话的变量产生任何影响，但会话ID已经从其通常的类似哈希的外观偏离到用户被篡改的外观。 这是一个问题 – 如何检测或优先防止这种行为？