これに関する以前の質問を投稿しましたが、フォローアップがあります。高価なカスタム ドメインで SSL を使用するための回避策を作成しようとしていました。特定の安全なページについては、ユーザーをhttp://www.app.comからhttps://app.heroku.comに移動させても構わないと思っています。これを実現するには、モンキー パッチを適用した SSL が必要です。ただし、現在、この問題は、ログイン時にユーザーがログインしていることを確認することにあります。私が理解しているように、Cookie はクロス ドメインではありません。この問題を回避する方法はありますか?
質問する
849 次
2 に答える
2
現在、この問題に対処していました-いいえ、セッションは渡されません。iframe などでハッキングを行うことはできますが、ページ上のすべてが保護されているわけではないというセキュリティ警告が表示されます...
何も渡すことはできませんセキュリティを維持したい場合はクロスドメイン...
私が見つけた唯一の方法は、httpsページのurl + user_idにカスタムメイドのauthenticity_tokenを渡し(あなたはただ行うことができますmd5("#{user.id} The Secret"))、httpsページで同じ結果が得られるかどうかを確認することです...
それほど複雑ではありませんが、少し醜いです...
私の場合、それは支払いページなので、ユーザーがログインしているかどうかはあまり気にしません。
于 2010-01-30T01:47:18.193 に答える
0
http://www.chrisbaglieri.com/2010/01/01/heroku-hacks-ssl.htmlを試して、ニーズに合っているかどうかを確認してください。これは完全なソリューションではありませんが、一定のレベルまでは安全です。別の認証を使用している場合は、自分で実装する必要がある場合があります。
于 2010-03-11T20:56:36.937 に答える