CSRFの対応について、rails使いが知っておくべきこと - おもしろwebサービス開発日記

以前、CSRFについてのエントリを書きました。 CSRFについて - おもしろWEBサービス開発日記 上記エントリではCSRFの概念について書きましたが、もう少しつっこんで調べる必要が出てきました。調べたことを書いてゆきます。 基礎 application.rb(ないし適当なController)にprotect_from_forgeryメソッドを定義すれば、railsが自動的にCSRF対策をしてくれます。というか、デフォルトでapplication.rbに下記のように書いてあるので、特に何もせずともCSRF対策はバッチリなのです。 protect_from_forgery # :secret => '8ff3ed33f86a431662d8dfe255acdb4a' railsは、get以外の動詞のリンクに、authenticity_tokenというパラメータを自動的に付け加えます。ge

[kent-where-the-light-is]

“先ほども書きましたが、get以外の動詞(POST, PUT, DELETE)を使う時は、authenticity_tokenをセットする必要があります。なのでrailsのajax用のヘルパを使わずに、独自にjavascriptを書いてdbをいじる時は手動でauthenticity_tokenをいれてあ

[Arahabica]

rails session csrf

[sessan]

Ajaxでcsrfトークンを送る方法。

[monoknock]

CSRFとその対策。リクエストで使うので要チェック。Ajax関連のことも書いてある。

[labocho]

自前のjsからpost/put/deleteする場合

[mad-p]

protect_from_forgeryとajaxの関係で注意すべき点

[bugcloud]

Rails][CSRF][セキュリティ][ajax]

[gongoZ]

[