を使用していると仮定すると:cookie_store
、railsセッションは、Cookie内の署名された(ただし暗号化されていない)文字列でクライアント側に保存されます。
関連するドキュメントは、この署名がリクエストごとにサーバーで検証されることを示していますが、これが実際に発生する場所を追跡することはできませんでした。Railsスタックのどこでセッションハッシュが検証されますか?電源を入れたり確認したりする必要があるものはありますか?
protect_from_forgery
これは、GET以外のリクエスト(フォームの送信など)を保護するのに役立つと私が理解しているのとは異なり ますが、正しいですか?