エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント1件
- 注目コメント
- 新着コメント
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
hiddenタグにセッションID(ハッシュ化)を埋め込むCSRF対策
NasuaはRuby on Railsで作ったメモ帳WEBアプリです。って今ではすっかりRailsな話題を取り上げるだけと... NasuaはRuby on Railsで作ったメモ帳WEBアプリです。って今ではすっかりRailsな話題を取り上げるだけとなってしまいました。。 CSRF対策のためにフォームのhiddenタグにハッシュ化されたセッションIDを埋め込み、 リクエストを受けたときにチェックする仕組みを実装します。 フォームのメソッドはPOST hiddenタグにハッシュ化したセッションIDを埋め込む フォームの結果を受け取るアクションに関してセッションIDとフォームに埋め込まれた値を比較する 本サービスではSSLで暗号化して運用する。 ワンタイムトークンを推奨しているおさかなラボさんの説明を読みましたが、 いまのところそこまでする必要性が感じられないのでとりあえず上記の方法で実装します。 理由: ワンタイムトークンのセキュアな生成方法を知らない。:-p ワンタイムトークンとハッシュ化されたセッションIDに安全
2010/01/18 リンク