タグ

ブックマーク / rubricks.hatenadiary.org (1)

  • Rails2のCSRF対策はレガシーなAPを保護しない - Rubricks Project

    Rails-2.0がリリースされて半年が過ぎ、既にRails-2.1もリリースされているというのにRubricksはいまだにRails-1.2.6で動いている。というのも、Rubricksが使っているComponentsの仕組みそのものがRails2で消失してしまったため。 他の数多のPluginのように外出しされたとかなら兎も角、完全に無くなってしまったのは痛い。かといって、泣き言ばっかり言ってても仕方ないので最近重い腰をあげてRails-2.1のソースを読み込んでます。 Rails2の特徴の1つとして、「セキュリティの向上」が謳われている。その内容は主に以下の2点である。 CSRF対策 sanitizeの方式がホワイトリスト方式に変更 この2点、Rubricks Projectで提供しているrails_protection pluginと完璧に被るので、まずはこの周辺から読み込んでみる

    Rails2のCSRF対策はレガシーなAPを保護しない - Rubricks Project
  • 1