如何让 Devise 的 Rememberable 模块使用 http_only 作为记住我的 cookie？

Question

默认情况下，rails 会话 cookie 是 HttpOnly，但 Devise 的 Rememberable 模块设置的 remember_user_token cookie 不是。

据我了解，发送 cookie 时将导致用户收到一个新的会话 cookie，因此它肯定容易受到 XSS 攻击。

那么有什么办法可以将其设置为HttpOnly吗？

Answer 1

在#rubyonrails 上@camonz 的帮助下，我想出了这个猴子补丁：
https://gist.github.com/749289

在 Devise 1.1.3 中，cookie 选项是硬编码的，因此我认为猴子补丁是唯一可行的。

然而，Devise 1.2rc 看起来它将允许配置，因为它引入了 resource.cookie_options （例如，从用户模型中提取 cookie_options，所以你应该能够以某种方式在那里设置它 - 还没有想到）还没出来）。

PS我还没想出如何测试这个。要在 Chrome 中手动测试，请切换到设置 cookie 的选项卡，使用 Alt + Cmd + I 打开开发人员工具，切换到“存储”选项卡，单击“Cookies”下的项目（在我的例子中为 localhost），然后查看 HTTP柱子。如果 cookie 是 HttpOnly，则会有一个勾号。作为参考，rails 会话 cookie 默认情况下称为 _session_id，默认情况下为 HttpOnly。