おそらくはそれさえも平凡な日々: CSRFDefender的なやつでコンテンツフィルタはしないほうがいいんじゃないかという話本日の組長のお話。 Ark::Plugin::CSRFDfenderに機能追加したりいろいろバグっていたりしたのに手を入れていたのだが、それに対して組長に意見を頂いた話。結論はタイトルの通り。 CSRF対策をフレームワーク側で入れるのは良いと思うが、フィルタしてformに自動的にhiddenを埋め込むのはあんまよろしくないんじゃないかという話です。 CSRFDefender的なやつには以下のような機能があるが、それぞれに関して述べる。 POST, PUT, DELETE時に自動でtokenチェックしてエラー画面強制表示 自動的にコンテンツフィルタしてform要素にhiddenを埋め込む POST, PUT, DELETE時に自動でtokenチェックしてエラー画面強制表示 OK。安全側に倒している。 自動的にコンテンツフィルタしてform要素にhiddenを埋め込む あまり好ましくない。厳密
