Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2014年9月7日

Rails の CSRF 対策はよくできているらしい

RailsのCSRF対策の仕組みについて - Programming log - Shindo200

上記記事は、Rails のソースコードにまで踏み込んで、Rails の CSRF 対策について調べている良記事だと思います。

Rails は HTML を生成するときに、自動的に CSRF のトークンをフォームに出力して自動で CSRF 対策をしてくれるようですね。しかも、Ajax 通信の場合は、HTTP ヘッダーに CSRF トークンを自動で設定して対策をしてくれるようです。

対策モレしやすい CSRF 対策が自動で行われるというのは Rails の大きなアドバンテージですね。

Rails と言えば、クロスサイトスクリプティング(XSS) の対策も自動で行ってくれますね。

作り込みやすい脆弱性である、CSRF と XSS をフレームワークで対処してくれるというのは、フレームワークのお手本のような実装です。やはり、こういう決まり切ったセキュリティ対策というのはフレームワークで吸収するのがよいと思います。

とはいえ、全ての方が Rails を採用できる訳でもないし、Rails のバージョンアップについていくのも大変ですので、実際には多くの方が自分で対策を行うことになると思います。

このサイトでも、CSRF と XSS の対策方法を載せていますので、興味のある方は目を通してみてください。関連記事に、Java, PHP, C#/VB.NET の対策も載っていますので。

最近は、Web アプリケーションのセキュリティ対策も体系化され、セキュリティ対策も進んでいると思いますが、油断せずセキュリティ対策を行いたいですね。


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA