NasuaはRuby on Railsで作ったメモ帳WEBアプリです。って今ではすっかりRailsな話題を取り上げるだけとなってしまいました。。 CSRF対策のためにフォームのhiddenタグにハッシュ化されたセッションIDを埋め込み、 リクエストを受けたときにチェックする仕組みを実装します。 フォームのメソッドはPOST hiddenタグにハッシュ化したセッションIDを埋め込む フォームの結果を受け取るアクションに関してセッションIDとフォームに埋め込まれた値を比較する 本サービスではSSLで暗号化して運用する。 ワンタイムトークンを推奨しているおさかなラボさんの説明を読みましたが、 いまのところそこまでする必要性が感じられないのでとりあえず上記の方法で実装します。 理由: ワンタイムトークンのセキュアな生成方法を知らない。:-p ワンタイムトークンとハッシュ化されたセッションIDに安全