在此发布了一个先前的问题,但有一个跟进。我试图创建一种解决方法来在昂贵的自定义域上使用 SSL。我愿意忍受将用户从http://www.app.com撞到https://app.heroku.com以获得某些安全页面,并且需要猴子修补的 SSL 来实现这一点。但是,现在这个问题是确保我的用户在我这样做时已登录。据我了解,cookie 不是跨域的。有没有办法解决这个问题?
问问题
849 次
2 回答
2
正在处理这个问题 - 不,会话没有通过,您可以使用 iframe 等进行一些黑客攻击,但是您会收到安全警告,表明页面上的所有内容都不是安全的......
您无法通过任何东西跨域,如果你想保持它的安全......
我发现的唯一方法是在 https 页面的 url + user_id 中传递自定义的authentity_token(你可以这样做md5("#{user.id} The Secret"))并检查你是否在 https 页面上得到相同的结果...
做起来不太复杂,但是有点难看...
在我的情况下,它是一个支付页面,所以我真的不在乎用户是否登录,因为如果有人入侵它 - 他最终只会为其他人支付:)
于 2010-01-30T01:47:18.193 回答
0
好吧,你可以试试http://www.chrisbaglieri.com/2010/01/01/heroku-hacks-ssl.html看看它是否符合你的需要。这不是一个完美的解决方案,但它在一定程度上是安全的。如果您使用不同的身份验证,您可能需要自己实现它。
于 2010-03-11T20:56:36.937 回答