在此发布了一个先前的问题,但有后续。我试图创建一种解决方法来在昂贵的自定义域上使用 SSL。对于某些安全页面,我愿意忍受将用户从http://www.app.com 碰撞到https://app.heroku.com,并且需要猴子修补的SSL 来实现这一点。但是,现在这个问题是确保我的用户在我这样做时已登录。据我了解,cookie 不是跨域的。有没有办法解决这个问题?
【问题讨论】:
标签: ruby-on-rails ssl heroku
现在正在处理这个问题 - 不,会话未通过,您可以使用 iframe 等进行一些黑客攻击,但随后您会收到安全警告,表明页面上的所有内容都不是安全的...
如果你想保持它的安全,你不能跨域传递任何东西......
我发现的唯一方法是在 https 页面的 url + user_id 中传递定制的authentity_token(你可以只做md5("#{user.id} The Secret"))并检查你是否在 https 页面上得到相同的结果......
做起来不算太复杂,就是有点丑……
在我的情况下,它是一个支付页面,所以我并不关心用户是否登录,因为如果有人入侵它 - 他最终只会为其他人支付:)
【讨论】:
嗯,你可以试试http://www.chrisbaglieri.com/2010/01/01/heroku-hacks-ssl.html,看看它是否符合你的需要。这不是一个完美的解决方案,但它在一定程度上是安全的。如果您使用不同的身份验证,您可能需要自己实现。
【讨论】: