Ruby On Rails ピチカート街道 - [2.0]セッション&クッキー -
XSS クロス・サイト・スクリプティングで問題として真っ先に上げられそうな、cookie の値を javascript で取ってくる、ということが出来ないクッキーのことです。 それを http only cookie と言ったりしますが、その設定が出来るようになりました。 options = { "name" => "quality", "value" => "owesome", "http_only" => true } cookie = CGI::Cookie.new(options) http only クッキーとはなんぞや、の方は、 T.Teradaの日記や Mitigating Cross-site Scripting With HTTP-only Cookiesがお勧めです。 【広告】 CSRF (Cross-Site Request Forgery) を勝手に防止してください
Rails 3 での CSRF 対策 - エラー時に ActionController::InvalidAuthenticityToken error は表示されない - 僕は発展途上技術者
Rails 3.2.3 での CSRF 対策について調べていて、ちょっとはまったポイントがあったのでメモを残しておきます。 Rails はデフォルトで特に何もしなくても POST/PUT/DELETE のリクエストに対して authenticity_token という hidden のパラメーターを利用して CSRF 対策をおこなってくれる仕組みを持っている。(Ruby On Rails ピチカート街道 - Rails 2.0・その12(CSRFを勝手に防止) - などが参考になる) しかしそれは Rails の form_for などのヘルパーを使った場合で、form タグを自分で書いた場合には、 <%= hidden_field_tag :authenticity_token, form_authenticity_token %> のように手動で authenticity_token
CSRFの対応について、rails使いが知っておくべきこと - おもしろwebサービス開発日記
以前、CSRFについてのエントリを書きました。 CSRFについて - おもしろWEBサービス開発日記 上記エントリではCSRFの概念について書きましたが、もう少しつっこんで調べる必要が出てきました。調べたことを書いてゆきます。 基礎 application.rb(ないし適当なController)にprotect_from_forgeryメソッドを定義すれば、railsが自動的にCSRF対策をしてくれます。というか、デフォルトでapplication.rbに下記のように書いてあるので、特に何もせずともCSRF対策はバッチリなのです。 protect_from_forgery # :secret => '8ff3ed33f86a431662d8dfe255acdb4a' railsは、get以外の動詞のリンクに、authenticity_tokenというパラメータを自動的に付け加えます。ge
Rails 4.0だとCSRFトークンでエラーになる - Qiita
ついにRails 4がリリースされたので軽く触ってみたら、3.xから変わったところを見つけたので共有。まだ日本語の情報は見当たらなかった。 APIを試しに作ってみようと思いcurlでPOSTリクエストを送ろうとしたら以下のようなエラーが。 $ curl -X POST -d "name='hoge'" http://localhost:3000/bikes Can't verify CSRF token authenticity Completed 422 Unprocessable Entity in 1ms ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken): ...
Rails に XML をボディとするリクエストを JavaScript で送る - 情報と音楽
これは主に ActiveResource のための仕様だろうが、XML によるレコードのエクスポートとインポートを行う目的で、同じインターフェイスを HTML から使いたいと考えた。 JavaScript によるリクエスト HTML の form で Content-Type を application/xml にすることはできない (よね?) ので、jQuery を使って JavaScript で送る。 // url に URL 文字列、 // xml に XML 文字列が格納されているものとする。 $.ajax({ type: "POST", url: url, dataType: "xml", // Accept ヘッダをセットする。レスポンスを XML で受けとるなら必要。なくてもよい。 contentType: "application/xml", // Content-Type
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
