読者です 読者をやめる 読者になる 読者になる

Rails 3.0 で Session用Cookieの httponly属性を外す方法

Ruby

Cookieのhttponly属性を外す方法 - From a Far East IslandRails 3.0 で試したところエラーになってしまったので、調べたところ

config/initializers/session_store.rb ファイルにある

RailsBooks::Application.config.session_store :cookie_store, :key => '_RailsBooks_session'

以下の様に :httponly => false を追加すれば良いようです。

RailsBooks::Application.config.session_store :cookie_store, :key => '_RailsBooks_session', :httponly => false

:httponly => falseを指定すると、Javascriptから session用 cookie がアクセス出来てしまい、セッションハイジャック等の危険が増えますので実際のサイトでは指定してはいけません !!