ドラえも⚫︎で理解するCSRF - Qiita

ドラえも⚫︎で理解するCSRF はじめに ※コメントにて徳丸浩先生(@ockeghem)に間違いをいくつかご指摘頂き修正中です。 また、@rudorufu1981様よりブラウザの同一オリジンポリシーについての補足を頂いております。 ぜひ記事の下部、コメント欄までご覧頂きますようお願いいたします。 ご指摘や補足、本当に有難うございます。 【追記2023.12.2】 同一オリジンポリシーの補足についても徳丸先生のご見解コメントを頂いております。ぜひそちらもご確認下さい。 【追記2023.12.5】 ご指摘を受けて同一オリジンポリシーはCSRFと直接の関連はない事から、取り消し線にて削除致しました。 対象読者 ・HTTPの特性 ・セッション管理 ・ブラウザの同一オリジンポリシー ・CSRF(Cross-Site Request Forgeries) ⚫︎上記の言葉を聞いてイメージができない人 ⚫

[nemoba]

ちょっと違う、same originで抜ける部分(HTTP Reqest)をCSRFtokenで守ってるんだよ。

[YassLab]

“Railsガイドにどのようなセキュリティ対策が用意されているのか、何に気を付けるべきか記載されています。”

[pmint]

CSRFトークンってまだあるの笑。「何も考えず黙って標準的なコードを書いとけ」は徳丸浩も言ってる。https://blog.tokumaru.org/2021/12/php.html なので、実際のところ「セキュアプログラミング」はコピペプログラミング。

[punychan]

無理なたとえのせいで伏せ字だらけで頭に入らない。

[pwatermark]

ドラちゃんで例えるの大変そうだなあと思ったら実際大変だった模様、お疲れ様ｗ