在之前的一个question我发现我应该设置 nginx ssl 终止并且不让 Rails 处理加密数据。
那么为什么会出现下面的情况呢?
config.force_ssl = true
我在生产配置文件中看到这一点被注释掉了。但是,如果期望 nginx 将处理所有 ssl 内容,以便我的 Rails 应用程序不处理加密数据,那么该怎么办config.force_ssl = true
do?
如果我知道我将始终使用 nginx,我应该在生产中将其注释掉吗?
事实并非如此just强制浏览器将 HTTP 重定向到 HTTPS。它还将您的 cookie 设置为“安全”,并且它允许HSTS,其中每一个都可以很好地防止 SSL 剥离。
即使 HTTPS 保护您的应用程序“https://example.com/yourapp“针对 MITM 攻击,如果有人介于您的客户端和服务器之间,他们可以很容易地让您访问”http://example.com/yourapp如果没有上述任何保护措施,您的浏览器将很乐意将会话 cookie 发送给执行 MITM 的人。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)