2
我正在使用Rails 3,設計,康康。我已將cookie設置爲子域特定,並將子域與用戶名一起用作認證密鑰。使用子域Cookie驗證可以輕鬆訪問其他子域
即
devise :authentication_keys => [:username, :subdomain]
所以,當我在一個特定子域驗證用戶的用戶沒有訪問任何其他子域。如果我只編輯他的cookie會話(firebug)並更改cookie的域名(即從foo.mydomain.com更改爲fee.mydomain.com),則用戶將獲得對新子域的訪問權限。
我意識到我可以用cancan阻止訪問,但理想情況下我想限制用戶通過身份驗證。它以某種方式感覺更安全一點,它需要更少的配置(在ability.rb中少了幾行)。
任何想法ñ如何防止這種死亡簡單的黑客?
我有這個第二個問題。如果您邀請某個子域中的用戶,然後調整該鏈接以指向另一個域,則該用戶將成功註冊到其他域的用戶(不好!)。你有沒有遇到過這個? – cjm2671 2011-10-24 20:56:24