Rails セキュリティガイド を他のリソースを参照して補足を追加しながらまとめなおしたもの。 Railsセキュリティガイド Railsセキュリティガイドは、以下についてに説明したマニュアル。 Webアプリケーション全般におけるセキュリティの問題 Railsでそれらの問題を回避する方法 TL;DR 2.セッション セッションハイジャックの対策 config.force_ssl = true よく目立つログアウトボタンの設置 古いcookieは定期的に無効化する(ローテーション) リプレイ攻撃の対策 cookieにセキュリティ上重要なデータを保存しない セッション固定攻撃の対策 ログイン成功後はセッションをリセットする 期限を過ぎたセッションは無効にする 3.CSRF GETとPOSTを適切に使用する CSRF保護(config.action_controller.default_prote