ruby on rails - tutorial - ¿Cómo configuro la configuración HttpOnly de la cookie de la sesión en falso?

Así es como lo hice con Rails 3:

Testapp::Application.config.session_store :cookie_store, key: ''_testapp_session'', :domain => :all, :httponly => false

En Rails 4, necesita editar config/initializers/session_store.rb

Rails.application.config.session_store :cookie_store, key: ''_my_app_session'', httponly: false

Me di cuenta de esto. En /config/environment.rb incluye este código:

config.action_controller.session = { :httponly => false }

Rails lo tiene configurado por defecto como verdadero. No recomiendo cambiarlo porque le dará acceso a las cookies para cambiar de JS como: document.cookie

En Rails 3+ puede cambiar la configuración de las cookies desde config/initializers/session_store.rb :

# Be sure to restart your server when you modify this file. Rails.application.config.session_store :cookie_store, key: "_my_application_session", httponly: false