Wie bekomme ich das Rememberable-Modul von Devise, um http_only für den Remember Me-Cookie zu verwenden?

Question

Der Sitzungscookie von Rails ist standardmäßig HttpOnly, aber der remember_user_token Cookie, der von Devise Rememberable-Modul festgelegt wurde, ist nicht.

Wie ich es verstehe, dass Cookie, wenn gesendet wird in der Benutzer wird ein neues Session-Cookie ausgestellt, so sicher ist es so anfällig für XSS.

Also gibt es eine Möglichkeit, es auf HttpOnly zu setzen?

Answer 1

Mit Hilfe von @camonz auf #rubyonrails kam ich mit diesem Affen flicken: https://gist.github.com/749289

In Devise 1.1.3 die Cookie-Optionen so ein Affe Patch alle fest einprogrammiert sind, die ich arbeiten würde denken konnte.

Allerdings sieht Devise 1.2rc so aus, als würde es die Konfiguration erlauben, da es resource.cookie_options einbezieht (z. B. cookie_options aus dem Benutzermodell ziehen, also sollte man es irgendwie einstellen können - habe das noch nicht herausgefunden).

P.S. Ich habe noch nicht herausgefunden, wie ich das testen soll. Um manuell in Chrome zu testen, wechseln Sie zu der Registerkarte, auf der der Cookie gesetzt ist, öffnen Sie Developer Tools mit Alt + Cmd + I, wechseln Sie zur Registerkarte Speicher, klicken Sie auf das Element unter "Cookies" (in meinem Fall localhost) und schauen Sie sich das HTTP an Säule. Es gibt ein Häkchen, wenn der Cookie HttpOnly ist. Als Referenz ist der Session-Cookie rails, standardmäßig _session_id genannt, standardmäßig HttpOnly.