Railsエンジニアが安心して新年を迎える方法 - Qiita
この記事は ドワンゴ Advent Calendar 2014 20日目の記事です 新しい年を迎える準備 もうあと10日もしたら新年です。 みなさん新年を迎える準備はできているでしょうか? ん? その前に大事なイベント? コミケのことかな??? 正月の準備といえば、家を大掃除し、しめ飾りや門松を飾り、餅を撞き、おせちを作り、色々ありますが、 これはすべて神様を迎え入れるための準備なんですね。 年神様という、元日に各家に訪れ、一年の実りと幸せをもたらしてくれるありがたい神様です。 年神様を心から歓迎し、失礼ないようおもてなしすれば、次の一年の幸福と繁栄とマネタイズは約束されたも同然です。 さて、今年は、Railsエンジニアが年神様をお迎えするにあたって、 その前に供物を捧げ荒ぶる現世神の怒りを鎮めなければなりません。 すなわち、今年のうちに secure属性がついたcookie を現世神にお
Rails3のprotect_from_forgeryはトークンの検証NGの場合にreset_sessionする | TECHSCORE BLOG | TECHSCORE BLOG
こんにちは、鈴木です。 CSRF 対策で使用する protect_from_forgery ですが、Rails3 からはトークンの検証 NG の場合に reset_session するように動作が変更されました。 今まではトークンの検証で NG だった場合に InvalidAuthenticityToken が raise されていましたが、デフォルトでは reset_session されるようになりました。 protect_from_forgery の動作 protect_from_forgery は、以下のようにコントローラに書いておくことで、リクエストとセッションに持たせたトークンが等しいことを検証してくれます。
docrails/security.md at develop · hachi8833/docrails · GitHub
Ruby on Railsセキュリティガイド このマニュアルでは、Webアプリケーション全般におけるセキュリティの問題と、Railsでそれらの問題を回避する方法について説明します。 このガイドの内容: 本ガイドで取り上げられている問題 に対するあらゆる対策 Railsにおけるセッションの概念、セッションに含まれる項目、セッションに対して行われることの多い攻撃 Webサイトを開くだけでセキュリティ問題が発生するしくみ (CSRF) ファイルの取扱い上の注意、管理インターフェイスを提供する際の注意 いかにユーザーを管理すべきか (ログイン/ログアウトのしくみ、あらゆるレイヤにおける攻撃方法の解説) 最もよく知られたインジェクション攻撃の手法 はじめに Webアプリケーションフレームワークは、Webアプリケーションを容易に開発できるようにするために作られました。その中にはセキュリティを比較的高め
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
