张贴在此之前的问题，但有一个后续。 我试图创建一个解决方法，使用SSL上昂贵的自定义域。 我愿意忍受颠簸用户https://app.heroku.com从http://www.app.com某些安全页面，并有需要的猴子打补丁的SSL来实现这一目标。 不过，现在这个问题是要确保我的用户登录时，我这样做。 据我了解，cookie不是跨域。 有没有解决这个问题的方法吗？

正在处理，现在这个问题 - 不，会话不通过，你可以用I帧等一些黑客攻击，但你会得到在页面上并不是一切固定安全警告...
如果你想保持它确保您可以不通过任何跨域...
我发现的唯一方法是通过定制authenticity_token在url + HTTPS网页的USER_ID（你可以做到这md5("#{user.id} The Secret")并检查你上了相同的结果HTTPS页...
不是太复杂的事，但一点点丑...

在我的情况下，它是一个支付页面，所以我真的不关心，如果用户登录，因为如果有人黑客 - 他只会为此付出别人:)

那么，你可以尝试http://www.chrisbaglieri.com/2010/01/01/heroku-hacks-ssl.html ，看看它是否适合你的需要。 这是不是一个完美的解决方案，但它是安全的达到一定的水平。 如果您正在使用不同的身份验证，则可能需要实现它自己。