Estoy bastante confundido por lo que se usa secret_token en Rails. ¿Alguien puede explicar para qué se usa? ¿Está bien colocar este token en un repositorio de origen público y usarlo en producción, o debo cambiarlo antes de implementar mi aplicación para evitar algunos tipos de ataques?Ficha secreta de rieles
23
A
Respuesta
31
Respondiendo a mi propia pregunta: secret_token se usa para evitar la manipulación de cookies en Rails. Cada cookie tiene una suma de comprobación guardada con ella, por lo que los usuarios no modificarán el contenido de las cookies (y cambiarán la identificación de usuario guardada para robar la cuenta de alguien, por ejemplo). La suma de comprobación se basa en el contenido de la cookie y secret_token, por lo que si está utilizando sesiones basadas en cookies, siempre debe asegurarse de que secret_token sea realmente secreto, de lo contrario no puede confiar en que todo lo que puso en sesión volvió sin cambios.
Cuestiones relacionadas
- 1. Find $ secreta en $ a == MD5 (. $ B $ secreta)
- 2. ficha Resaltar en el menú
- 3. botones de ficha personalizados
- 4. ficha de C Constantes/Macros
- 5. Notepad ++ Configuración de la ficha
- 6. Color de la ficha Notepad ++
- 7. Ficha de autenticidad de Rails 3
- 8. Ficha DataGrid columna de omisión de navegación
- 9. Extracción frontera de control de ficha ui
- 10. Zsh para rellenar la ficha de "cd .."
- 11. Ficha Resharper 6.0 en lugar de espacios
- 12. Clave secreta convertida en bytes, ¿cómo volver a convertirla en clave secreta?
- 13. ¿Dónde guardan los programas su licencia secreta?
- 14. Ocultar clave secreta en el repositorio público
- 15. Almacenar una clave secreta en Android
- 16. ¿Cómo mantener la aplicación secreta en secreto?
- 17. ¿Cómo cero una clave secreta en java?
- 18. Chrome Extensión: ficha Abrir y sin emergente
- 19. Encuentra Ficha del propietario/creador en C#
- 20. ¿Cómo administrar una sesión por ficha?
- 21. Botón de cierre de la ficha Visual Studio 2010
- 22. Datos específicos de la ficha del navegador de la tienda
- 23. WPF Vista de ficha de cinta en Designer
- 24. WPF Control de ficha Prevenir cambio de pestaña
- 25. CSRF Ficha de validación: id de sesión segura?
- 26. problemas de codificación Amazon Payments flexibles serie secreta en PHP
- 27. Agregar variable de entorno secreta a Travis CI
- 28. lectura Ficha de datos delimitado en el que R
- 29. Mover el foco de JTextArea mediante la ficha clave
- 30. Obtener índice/ID de la ficha del navegador