私はRailsとRESTfulなアプローチを学ぼうとしているASP.NET開発者です。理解するために、私は電子メールクライアントを作成することを計画しています。これは、サーバーに RESTful GET 呼び出しを行って電子メールを取得し、POST して電子メールを送信します。
上記のアプリケーションが XSRF の脆弱性を公開しないようにするために、従うべきベスト プラクティス (一般的および/または Rails 固有の両方) は何ですか。
私はRailsとRESTfulなアプローチを学ぼうとしているASP.NET開発者です。理解するために、私は電子メールクライアントを作成することを計画しています。これは、サーバーに RESTful GET 呼び出しを行って電子メールを取得し、POST して電子メールを送信します。
上記のアプリケーションが XSRF の脆弱性を公開しないようにするために、従うべきベスト プラクティス (一般的および/または Rails 固有の両方) は何ですか。
Ruby on Rails Security Projectには、これに関する良い記事があります。
基本的に、Rails 2.0 以降には XSRF 攻撃に対する保護機能が組み込まれています。フォーム ヘルパーを介して作成されたすべてのフォームには、特別なトークンを含む隠しフィールドが含まれます。POST (または非 GET) が受信されるたびに、サーバー上のシークレットに対してトークンがチェックされます。一致しない場合、セキュリティ例外がスローされ、リクエストは無視されます。
記事を読む。彼らはそれを説明するより良い仕事をします。