formヘルパー使わなかったときにリクエストフォージェリを防ぐためにform_authenticity_tokenで認証トークンを作る。 Railsでは、formヘルパーを使用して生成されたあらゆるフォームにトークンを追加します。従って、この攻撃を心配する必要はほとんどありま…

cookieから属性を消すことは重要です。 rails4ではcookieの内容は暗号化されてclient側に保存されていますが、 復号化せずにサーバーに送信すれば正常なcookieとして取り扱われるため、cookieファイルを盗まれるとなりすましが可能となります。 cookieに有効…

cookieのsecureをtrueにする。 trueにした属性は、https以外の通信でcookieを送信しなくなる。 httpsとhttpの行き来がある様なサイトは、セッションIDなどをsecure属性にしないとセッションハイジャックされる可能性がある。 secure属性と直接関係はないが、…