Class: RuboCop::Cop::Captive::Rails::ForceSslEnabledInProduction

Inherits:

Base

• Object
• Base
• RuboCop::Cop::Captive::Rails::ForceSslEnabledInProduction

Extended by:

AutoCorrector

Defined in:

lib/rubocop/cop/captive/rails/force_ssl_enabled_in_production.rb

Overview

This cop ensures the config force_ssl is set to true.

Pourquoi il faut configurer le ‘force_ssl` à `true` en production ? 1) Ça redirige les requêtes http → https. C’est une option que permet également le routeur de Scalingo 2) Ça ajoute un flag `Secure` sur les Cookies. S’il n’est pas présent, c’est considéré comme une vulnérabilité car ça peut permettre à un pirate de récupérer le cookie en HTTP et potentiellement voler la session.

See Also:

• https://www.notion.so/captive/Corriger-la-vuln-rabilit-Insecure-cookie-setting-missing-Secure-flag-7962ae24774d4de39dcda5a80cca4fcf?pvs=26&qid=
• article détaillant la sécurité du cookie

Constant Summary

MSG =

"force_ssl should be enabled in production."

Instance Method Summary

• #on_new_investigation ⇒ Object
• #on_send(node) ⇒ Object

Instance Method Details

#on_new_investigation ⇒ Object

# File 'lib/rubocop/cop/captive/rails/force_ssl_enabled_in_production.rb', line 34

def on_new_investigation
  processed_source.comments.each do |comment|
    check_comment(comment)
  end
end

#on_send(node) ⇒ Object

# File 'lib/rubocop/cop/captive/rails/force_ssl_enabled_in_production.rb', line 20

def on_send(node)
  if setting_force_ssl_not_true?(node)
    add_offense(node, message: MSG) do |corrector|
      # Replace with 'true' only if the argument is not already 'true'
      unless node.arguments.first.true_type?
        corrector.replace(
          node.arguments.first.source_range,
          "true"
        )
      end
    end
  end
end