Как я могу удалить все маркеры cookie для текущего пользователя после выхода из системы, чтобы обезопасить себя от перехвата сеанса?

Question

Rails хранит куки для каждого запроса. Но после выхода предыдущие куки не удаляются, я использую инструмент (Burp Suite), чтобы проверить безопасность для перехвата сессии. Но предыдущий сеанс не удаляется после выхода из рельсов. Я могу перейти на мою предыдущую страницу. Есть ли какое-либо решение удалить все куки для входа пользователя после выхода из системы, что я могу попробовать?

Answer 1

При конфигурации Rails по умолчанию config.session_store устанавливается на :cookie_store. При такой конфигурации, когда пользователь выходит из системы, предыдущий файл cookie все еще действует и не аннулируется на сервере. Таким образом, если ваш браузер или средство перехвата сеанса не уничтожит cookie, пользователь не будет отключен. Пользователь может даже скопировать этот файл cookie, когда он еще вошел в систему, а после выхода отправьте его вместе с запросом http. Сервер не может определить, что пользователь вышел из системы.
Это компромисс использования сеансов на основе файлов cookie. Если вам не нужно это поведение, существуют альтернативные решения, такие как ActiveRecordStore для хранения сеансов в базе данных.