【Ruby on Rails】cookie 中的安全属性

最新推荐文章于 2024-06-04 20:58:35 发布
最新推荐文章于 2024-06-04 20:58:35 发布
阅读量2.3k 收藏
点赞数 1
分类专栏: Ruby on Rails 文章标签: ruby on rails 安全 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liweifeng998/article/details/121931321
版权

        写在前面:这是一篇老知识学习。自从2016年开始从事网络安全的项目,虽说工作内容大部分和应用层安全相关,反倒是很少关注的应用层技术了。今天补一下知识。

        提到的内容:

  • Rails cookie 的两个属性,secure 和 httponly
  • cookie 前缀,__Secure- 和 __Host-
  • Rails 开启 force_ssl
  • CVE-2021-41819

一、Rails 设置 cookie 属性

        通常,我会在 config 下增加 initializers/session_store.rb 文件,写入 session 的配置,并且配置上 redis 作为缓存服务器。这样浏览器只需要告诉后端一个key,session 全部在服务端读取了。当然,客户端的信息也可以全部写入到 cookie 中。

        在设置 session 属性的时候,有2个属性是本文提到的,secure 和 httponly 属性。

# config/initializers/session_store.rb
Rails.application.config.session_store :cookie_store, key: '__Secure-id', secure: true, httponly: true

        secure属性为true时,cookie 只能通过 https 协议发送给后端。如果使用http协议请求Rails应用,会收到 ERR_SSL_PROTOCOL_ERROR 的异常响应。

        httponly属性,按照 Rails 文档解释容易产生误解,会认为和secure是2个矛盾的设置。按照RFC6265的解释,该属性可避免js脚本对其进行读取,两个属性可以同时使用。(起名很重要啊)

二、cookie 前缀

        之所以关注这个内容,是因为11月底,ruby 官网公布了2个 CVE。这个后面讲,那么cookie前缀是什么呢?

        cookie 前缀是16年提出的,目前主流浏览器都支持该属性,它有2个前缀,`__Secure-` 和 `__Host-`。

        `__Secure-` 属性需要和前面提到的 secure 属性搭配使用,否则,我们的Rails应用会收到 InvalidAuthenticityToken 异常,即便是通过 https 访问也是如此。也就是说,`__Secure-` 需要在 https 下使用。

        `__Host-` 属性对 `__Secure-` 属性扩展,且必须携带 Path 属性,不能携带 Domain 属性。

        对于两个前缀如何使用,个人认为, `__Secure-` 可用于更常用的证书加密访问,对于可以严格控制访问域的场景,可以用 `__Host-` 代替。

三、强制Rails启用证书

        这是 一个老知识点了,我们在环境中 可以开启强制证书访问,方法是 

config.force_ssl = true

        开启后,HTTP协议访问时,Rails 会响应 302 跳转。

        在搜索资料的时候,看到一个观点,认为开启证书就不需要 secure 属性了。这是个错误观点。使用证书是保障在传输过程中不数据不被窃取,而 cookie  的 secure 属性保护是防止客户端窃取。两个应对的威胁场景不同。一句话,证书要用,属性要加。

四、CVE-2021-41819 讲了什么

        41819 讲的是在调用 CGI::Cookie.parse 的时候,可以对上述的 cookie 前缀进行欺骗,进而读取特殊的 cookie 内容。当然,前提是我们可以写入的一个 cookie。

        我构建了一个简单的例子,对于 Rails 来说,它是可以区分 cookies["__Secure-id"] 和 cookies["__%53ecure-id"] 的。

图片

演示环境:ruby 2.6.6,rails 5.2.6

该演示思路由申思维同学提供,在此表示感谢。

        但是如果用以下命令对 cookie 处理,可就要小心了。

2.6.6 :004 > require 'cgi'
2.6.6 :005 > cookies = CGI::Cookie.parse("__%53ecure-id=hacked;")
 => {"__Secure-id"=>#<CGI::Cookie: "__Secure-id=hacked; path=">}

        写在后面:上次发表内容,是2015年8月14日,不用掐指一算也知道有年头没写东西了。过去的6年一直沉浸在网络安全的知识里,希望今后和大家在应用交付,WAF,软件设计,Rails上有更多的交流。顺便预告下,本次 Rubyconf china 2021 线上部分昨天已经结束了,我和其他两位讲师的话题安排在了明年春季线下进行,希望到时候和大家在上海见面。

        注:封面图片来自网络。

        朋友们,关于 Rails 应用和信息安全等内容,有哪些想了解的话题,可以私信我。微信搜索公众号:里克的自习室

里克的自习室
关注
专栏目录
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置属性时会遇到的问题,以及设置属性的方式
举例理解Ruby on Rails的页面缓存机制
09-22
Ruby on Rails ,页面缓存是一种优化性能的技术,尤其适用于那些内容相对静态或者对用户个性化要求不高的网页。页面缓存的工作原理是将动态生成的 HTML 页面直接保存到服务器的文件系统,后续的相同请求可以...
cookie安全设置
小程故事多
05-22 223
为了解决XSS(跨站脚本攻击)的问题,IE6开始支持cookie的HttpOnly属性,这个属性目前已被大多数浏览器(IE、FF、Chrome、Safari) 所支持。当cookie的HttpOnly属性设置为true时,前端脚本就无法访问或操作cookie了(只能通过后台访问),这样XSS就失效了。 在PHPcookie的HttpOnly有两种设置方式。     方法一: ...
Cookie属性之secure、httponly
weixin_44843710的博客
12-02 2040
登录时,HSIAR会生成token等会话信息,设置到响应的Set-Cookie头部,返回给浏览器,浏览器会在application存储Cookie信息,当有同域的请求发起时,浏览器会将此域的Cookie(如果有的话)携带并发往服务端进行认证;经常会有安全测试不了解Cookie属性,而认为某个属性是漏洞,最常见的就是secure,作者就见过几次漏洞报告,认为http协议下,Cookie的secure为false是一个安全漏洞,这其实是测试没有理解secure的真正作用。
Cookie安全
玛已的小空间
10-24 1216
cookie安全设置
cookie安全
qq_43936524的博客
05-16 635
文章目录cookie概述cookie的储存cookie属性cookie安全问题httponly无session验证cookie覆盖攻击 cookie概述 由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。 cookie的流程如下图所示。第一次访问后服务端铜鼓set-cookie报文头在客户端设置一个cookie字段。之后客户端每次访问cookie指定域名的地址都会在请求加上cook
authie:通过数据库会话存储提高Ruby on Rails应用程序的用户会话安全
02-05
在会话简单地设置用户ID的“传统”方式是不安全且不明智的。 如果仅执行以下示例的操作,则意味着有权访问会话cookie的任何人都可以随时随地以用户身份登录。 需要说明的是:尽管默认情况下,Rails会话cookie...
Ruby on Rails安全防护与漏洞修复
Ruby on Rails安全防护概述 在构建和开发Ruby on Rails应用程序时,安全性是至关重要的考虑因素之一。正确认识和加强对安全防护的重视,有助于降低应用程序受到恶意攻击的风险。本章节将介绍Ruby on Rails应用...
Ruby on Rails文指南
05-06
Ruby on Rails文指南,你将全面学习到如何利用这个强大的框架来构建动态的、数据驱动的Web应用程序。 首先,让我们深入理解Rails的核心概念: 1. **路由(Routes)**:Rails的路由系统是应用程序的导航蓝图...
Cookie安全
qq_38444415的博客
05-23 1440
请在cookie这里画个重点。
Cookie的所有属性详解
热门推荐
风吹过的博客
08-05 1万+
Cookie 本文将会讲一下Cookie 的各种属性 下图是浏览器Cookie截图,属性分别有Name、Value、Domain、Path、Expires/Max-age、Size、HttpOnly、Secure、SameSite和Priority。   Name和Value Name和Value是一个键值对。Name是Cookie的名称,Cookie一旦创建,名称便不可更改,一般名称不区分大小写;Value是该名称对应的Cookie的值,如果值为Unicode字符,需要为字符编码。如果值为二进制数据
cookie 里面都包含什么属性
小草莓的博客
11-09 1216
这些属性的大部分都是可选的,但通常建议至少设置名称、值和域属性来确保cookie 能够按预期工作。
Cookie属性详解】
最新发布
武帝为此的博客
06-04 581
Cookie是一种用于在客户端存储数据的小型文本文件,通常由服务器发送并存储在用户的浏览器Cookie 是由服务器发送并存储在用户浏览器的小型文本文件,用于在客户端存储数据,以便在用户访问网站时保持会话状态或跟踪用户行为。
Cookie 安全
allway2的博客
09-05 1893
攻击者将会话标识符强制输入目标用户的浏览器,然后等待用户登录。出于本文的目的,请注意计时攻击是可能的,因为浏览器在跨站点请求包含会话 cookie。在本文,您将了解有关 HTTP cookie 安全性、什么是与 cookie 相关的攻击以及如何防御它们的所有信息。在 http:// 或 ws:// 请求包含使用属性设置cookie,只有 https:// 和 ws://。请注意会话 cookie 是如何通过未加密的连接传输的,该会话 cookie 仅应在 HTTPS 页面上使用。
Web安全Cookie管理
brizer的博客
09-09 2130
前面我们讲到过XSS攻击,其原理就是利用脚本读取用户的Cookie从而造成用户信息泄露。这里我们要介绍Cookie的几个关键属性值HttpOnly、Secure及其用法。HttpOnly该属性值的作用就是防止Cookie值被页面脚本读取。一个没有设置HttpOnly的Cookie:setcookie('name','lf');效果如下: 这段代码就可能被攻击者用脚本来获取,所以我们应该为Cooki
如何保障Cookie的信息安全
Reische的博客
12-29 1282
默认情况下,Cookie 的生命周期为临时会话级,而在最新的浏览器,SameSite 的默认值设为 Lax,已具备较高安全性。根据实际需求或请求协议,可将 Cookie 设置为 HttpOnly 或 Secure,以进一步提升安全级别。除非必要,否则不建议设置过期时间和作用域,以免无意间扩大 Cookie 的生命周期和作用范围。除非必要,否则不建议在 XHR 和 Fetch 请求扩大 Cookie 的处理策略。
Cookie 前缀如何让 Cookie安全
weixin_34283445的博客
06-08 1037
就像 SameSite-cookies 我已经关注 Cookie 前缀很长时间了。通过测试我发现在最新版的 Chrome-dev 浏览器 Cookie 前缀已经得到了支持。那么现在是时候写一短篇博客来介绍什么是 Cookie 前缀以及 Cookie 前缀是如何保护用户的。 修改 Cookie,而非其属性Cookie 前缀是 HTTP 协议一个新的机...
如何设置安全cookie
weixin_34337381的博客
10-29 308
2019独角兽企业重金招聘Python工程师标准>>> ...
Rails4 文教程:Ruby on Rails 开发指南
"Ruby on Rails 4 文版" 是一本针对初学者和进阶者的教程,涵盖了Rails框架的最新版本4。这本书提供了一个清晰的文PDF版本,旨在帮助读者理解并掌握Ruby on Rails开发的基本概念和技术。 Ruby on Rails(简称...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值