按照第三版书Agile Web Development上讲得例子做
操作步骤如下:
rails2.0在environment.rb中打开
config.action_controller.session_store = :active_record_store
# Use the database for sessions instead of the cookie-based default,
# which shouldn't be used to store highly confidential information
# (create the session table with "rake db:sessions:create")
主要是为了用数据库来保存session信息。所以要打开此开关。
在做这个操作一定要同时修改下面的操作
in your environement.rb you have :
config.action_controller.session = {
:session_key => '_myapp_session',
:secret => 'secretpass'
}
当然书上也是这么指导的,但是我还是遇到这个问题。
原因如下:
这里涉及到rails2.0以后为了提高安全性,防止伪造当前web程序的链接,技术上是嵌入一个随机字符窜在会话中,这样攻击者无法知道,保证了不会有通过其他网站控制器从CSRF的攻击行动。如果想要了解更多CSRF(Cross-site Request Forgery)请参考如下网站
http://en.wikipedia.org/wiki/Cross-site_request_forgery
http://isc.sans.org/diary.html?storyid=1750
解决方法:
如果按照上面的步骤,那么只需 Turn on request forgery protection. 在控制器中对于公开的实例方法开启请求伪造的开关。 特别注意,只在非Get的Html/JavaScript请求,保证网站的数据安全性。
protect_from_forgery :except => :index