在Rails应用程序，会话cookie可以很容易地设置为包括secure cookie的属性，发送通过HTTPS确保cookie不会通过非HTTP连接泄漏时。

然而，如果Rails应用程序没有使用HTTPS，但只允许HTTP，似乎它并不甚至设置cookie的。
虽然这确实让一些感觉，在这种情况下有一个单独的前端负载均衡器，它负责终止SSL连接。 从LB到Rails应用程序，连接HTTP只。

我怎样才能迫使Rails应用程序设置一个secure的cookie，即使不使用HTTPS时？

安全Cookie不会过定义非安全连接发送。

上游终止SSL是很常见的，但是你需要通过，所以Rails会知道传递特定的头字段，可以做正确的事情。

这里有一个文件 ，说明在相当不错的细节为nginx的配置。 搜索“套头”跳到描述你需要通过特定的头一节。

没有使用此配置安全性的考虑，例如，如果该设备终止SSL是不一样的安全局域网中的Rails的主机上，那么你有一个漏洞。