Ruby On Rails - Brakeman: файлы cookie сеанса должны быть установлены только на HTTP

Question

Я использую Brakemangem, чтобы проанализировать код приложения ruby-on-rails.

Он имеет следующие High level security warning:

Warning Type | Message            | 
-------------------------------------------------------------------------- 
Session Setting | Session cookies should be set to HTTP only near line 3 | 

Согласно documentation, установка атрибута httponly в true, а не false (значение по умолчанию), внутри config/initializers/session_sotre.rb снимает это предупреждение (он работал для меня).

Может кто-нибудь объяснить, что происходит? Почему он решает эту проблему? устанавливает значение true может вызвать проблему?

Answer 1

По умолчанию Rails устанавливает флаг HTTPOnly на сессионные файлы cookie. Этот флаг запрещает JavaScript читать cookie (see here for details) и, таким образом, не позволяет cross-site scripting attacks получить доступ к файлу cookie. В случае файлов cookie сеанса он предотвращает кражу/захват сессий посредством межсайтового скриптинга.

Установка httponly: false в параметрах хранилища сеансов отключает эту защиту. Вы можете либо установить его на true, либо не устанавливать его вообще (в этом случае по умолчанию все еще true).

Однако, если приложение по какой-либо причине должно получить доступ к куки-файлу сеанса из JavaScript, вам необходимо отключить опцию httponly. Однако это должно быть довольно редко.