Обратите внимание, что в какой-то момент этот параметр был переименован из :http_only в :httponly (без подчеркивания).
В actionpack 3.0.0, то есть Ruby on Rails 3, все ссылки на :http_only исчезли.
Это бросило меня на время.
Ответ 3
Просто установите: http_only в true, как описано в changelog.
Ответ 4
Я также написал патч, который включен в Rails 2.2, который по умолчанию считает сессию CookieStore http_only.
К сожалению, файлы cookie сеанса по-прежнему по умолчанию являются обычными куки файлами.
Ответ 5
Если у вас есть файл с именем config/session_store.rb, включающий эту строку (Rails 3+), то он автоматически устанавливается уже.
config/initializers/session_store.rb:
# Be sure to restart your server when you modify this file.
Rails.application.config.session_store :cookie_store, key: "_my_application_session"
Также рельсы позволяют устанавливать следующие клавиши:
: expires - время, в течение которого этот файл cookie истекает, как объект Time.
: secure. Будет ли этот файл cookie передаваться только на HTTPS-серверы. Значение по умолчанию - false.