Question

使用 Devise 来验证我的认证后, 我发现有一个安全漏洞, 在用户登录退出后, 会话变量会被保存。这样任何人都可以按下后键并访问用户前一个屏幕中登录的。

I looked at these posts Num 1 Num 2 Num 3

我把这些线条加到我的应用程序控制器上

before_filter :set_no_cache
def set_no_cache
response.headers["Cache-Control"] = "no-cache, no-store, max-age=0, must-revalidate"
response.headers["Pragma"] = "no-cache"
response.headers["Expires"] = "Fri, 01 Jan 1990 00:00:00 GMT"
end

在_form.html.erb 中,我在顶部添加了这个

<%if user_signed_in? %>
<%=link_to "Sign Out",  destroy_user_session_path, :method => :delete %><br/>
<%= form_for(@listing) do |f| %>
<% if @listing.errors.any? %>
...........

然后我测试了Firefox、Chrome和Safari的应用程序。

Firefox和Chrome都很好,因为我登出记录并按下后按钮,无法看到用户先前的屏幕,然而,在Safari和Opera中,不安全行为依然存在。这个代码没有效果。

关于如何解决这个问题,有什么建议吗?

谢谢谢谢

Answer 1

我面对同样的问题,找到了一个好的解决办法,我用博客把它写到

http://www.fordevs.com/2011/10/how-to-revention-browser-from-caching-a-page-in-rails.html>http://www.fordfs.com/2011/10/how-to-revention-browser-from-caching-a-page-in-rails.html

要添加“ no-cache”,请添加以下行@ application_ controller.rb 文件

before_filter :set_no_cache

函数和函数

def set_no_cache
    response.headers["Cache-Control"] = "no-cache, no-store, max-age=0, must-revalidate"
    response.headers["Pragma"] = "no-cache"
    response.headers["Expires"] = "Fri, 01 Jan 1990 00:00:00 GMT"
end

Answer 2

首先,对于与缓存有关的任何问题,请使用 Mark Nottingham s < a href="http://www.mnot.net/cache_docs/" rel=“nofollow” > 指南 HTTP caching

Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Expires: 0

试试这个

Answer 3

我发现在我的应用程序控制器里这样做对发展很有帮助

after_filter  :expire_for_development

protected

def expire_for_development
  expires_now if Rails.env.development?
end

友情链接