Class: RuboCop::Cop::Captive::Rails::ForceSslEnabledInProduction

Inherits:

Base

• Object
• Base
• RuboCop::Cop::Captive::Rails::ForceSslEnabledInProduction

Extended by:

AutoCorrector

Defined in:

lib/rubocop/cop/captive/rails/force_ssl_enabled_in_production.rb

Overview

This cop ensures the config force_ssl is set to true.

Pourquoi il faut configurer le force_ssl à true en production ?

1. Ça redirige les requêtes http → https. C’est une option que permet également le routeur de Scalingo
2. Ça ajoute un flag Secure sur les Cookies. S’il n’est pas présent, c’est considéré comme une vulnérabilité car ça peut permettre à un pirate de récupérer le cookie en HTTP et potentiellement voler la session.

See Also:

• https://www.notion.so/captive/Corriger-la-vuln-rabilit-Insecure-cookie-setting-missing-Secure-flag-7962ae24774d4de39dcda5a80cca4fcf?pvs=26&qid=
• article détaillant la sécurité du cookie

Constant Summary

MSG =

"force_ssl should be enabled in production."

GOOD_PRACTICE =

"ENV[\"SKIP_FORCE_SSL\"].blank?"

Instance Method Summary

• #on_new_investigation ⇒ Object
• #on_send(node) ⇒ Object

Instance Method Details

#on_new_investigation ⇒ Object

# File 'lib/rubocop/cop/captive/rails/force_ssl_enabled_in_production.rb', line 32

def on_new_investigation
  processed_source.comments.each do |comment|
    check_comment(comment)
  end
end

#on_send(node) ⇒ Object

# File 'lib/rubocop/cop/captive/rails/force_ssl_enabled_in_production.rb', line 21

def on_send(node)
  if setting_force_ssl_not_true?(node)
    add_offense(node, message: MSG) do |corrector|
      corrector.replace(
        node.arguments.first.source_range,
        GOOD_PRACTICE
      )
    end
  end
end