24 Feb '13, 12am

hmhm > "Rubyで安全なWebアプリを作るためのメモ (2)"

Rubyで安全なWebアプリを作るためのメモ (2) Feb 21st , 2012 前回の記事 のはてブのコメント でrack-protection についての言及がないというご指摘をいただきました。恥ずかしながらrack-protectionについては知らなかったので、少し調べてみました。 rack-protectionは、CSRFやXSSをはじめとした攻撃に対処するためのRack middlewareです。アプリケーションを起動する前にuse Rack::Protectionを呼び出して組み込むことですべての機能を簡単に利用できます。 require 'rack/protection' use Rack::Protection run App ただ、rack-protectionが何をしているのか把握していないとはまりそうな部分もいくつかあるので、導入前に各機能の概要を理解しておいたほうがよいでしょう。 rack-protectionが実現している機能は以下の通りです。 CSRF対策 XSS対策 クリックジャッキング対策 ディレクトリトラバーサル対策 セッションハイジャッキング対策 IPスプーフィング対策 ここでは、各機能の概要を紹介します。機能ごとにそれぞれRack middlewareになっているので、use Rack::Protectionの代わりに個別にuseして利用することもできます。(option) と表記したmiddlewareはデフォルトでは組み込まれません。 CSRF対策 Rack::Protection::AuthenticityToken (option) 前回紹介したrack-csrfと同様に、POSTなどGET・HEAD・OPTIONS・TRACE以外のリクエスト時にsessionに格納しておいたtokenとリクエストのtokenを比較することでCSRFを防ぎます。 use Rack::Protection::AuthenticityToken Rack::Protection::FormToken (opt...

Full article: http://blog.monoweb.info/blog/2012/02/21/ruby-secure-web-...

Tweets

Polyvore Sundays 2#:

Polyvore Sundays 2#:

stephiielim.blogspot.com 24 Feb '13, 6am

\\ I love classy printed dresses, not only does it flatters the body, it gives it a simple cut dress an extra oomph. But o...

Dolly Wink x Tsubasa Masuwaka part 2

Dolly Wink x Tsubasa Masuwaka part 2

xiaxue.blogspot.com 23 Feb '13, 9pm

I know a lot of you have been waiting eagerly for this post!!! Coz it's photos from when I met Tsubasa Masuwaka when she c...

LEAK FROM UPSTAIRS - Page 2

forums.condosingapore.com 05 Mar '13, 2pm

when my unit leaked onto the one below, i got an old uncle to clear the leak and he did swee swee job to repaint the ceili...

2.0.0 特集がおおいけど、咳フリークの人に「咳フリーク以外が読んで楽しめるのか?」と言わし...

jp.rubyist.net 24 Feb '13, 9am

class BDBError < RuntimeError def initialize(bdb) super(bdb.errmsg(bdb.ecode)) end end class BDB < TokyoCabinet::BDB def e...