5

我正在尝试在 Rails 5.0.7.2 应用程序的会话 cookie 中设置 SameSite 属性,但在确定在何处以及如何设置时遇到问题。

看起来在 Rails 6.1 中将引入一种确定全局 SameSite 保护级别的方法,请参见:https ://github.com/rails/rails/commit/cd1aeda0a9dc15f09d7bf1b8b59e2ce07946f031 。也就是说,如何在以前的版本中进行设置?

SameSite 的处理方式将改变即将到来的 Chrome 版本 80,我正在尝试为此做准备,特别是涉及到:

“用于跨站点使用的 Cookie 必须指定 SameSite=None;安全以启用包含在第三方上下文中。”

有关更多信息,请参阅https://web.dev/samesite-cookie-recipes/ 。

4

1 回答 1

2

我能够使用secure_headers gem和rails 4.2.11.1做到这一点,我把配置放在一个初始化器中

SecureHeaders::Configuration.default do |config|
  config.cookies = {
   samesite: {
    none: true
   }
  }
end

https://github.com/twitter/secure_headers/blob/master/docs/cookies.md

于 2020-01-10T20:33:46.403 回答