1

ActionController Rails 指南说:

cookie 数据经过加密签名以防篡改,但未加密,因此任何有权访问它的人都可以读取其内容但不能对其进行编辑(如果已编辑,Rails 将不会接受它)。

这些文档cookies.signed[:user_id] = current_user.id...

[设置] 一个签名的 cookie,它可以防止用户篡改它的值。cookie 由您的应用程序的 config.secret_token 值签名。当你创建一个新的 Rails 应用程序时,Rails 默认会生成这个值。

第一个引用看起来好像 cookie 数据通常是防篡改的,而第二个引用表明除非您添加.signed,否则数据可以被篡改。它是哪一个?

4

1 回答 1

3

文档正在谈论两个不同的事情。

  1. 如果您使用会话 cookie,它将被签名。(在 Rails 4 中,您可以选择加密和签名。)
  2. 如果您致电,可能会签署其他 cookie signed
于 2013-05-28T18:24:08.557 回答