Rails 3 での CSRF 対策 - エラー時に ActionController::InvalidAuthenticityToken error は表示されない - 僕は発展途上技術者Rails 3.2.3 での CSRF 対策について調べていて、ちょっとはまったポイントがあったのでメモを残しておきます。 Rails はデフォルトで特に何もしなくても POST/PUT/DELETE のリクエストに対して authenticity_token という hidden のパラメーターを利用して CSRF 対策をおこなってくれる仕組みを持っている。(Ruby On Rails ピチカート街道 - Rails 2.0・その12(CSRFを勝手に防止) - などが参考になる) しかしそれは Rails の form_for などのヘルパーを使った場合で、form タグを自分で書いた場合には、 <%= hidden_field_tag :authenticity_token, form_authenticity_token %> のように手動で authenticity_token
