Talk
Rails APIモードのためのシンプルで効果的なCSRF対策
昨今のフロントエンドのリッチ化に伴い、 Rails を API モードで利用しフロントエンドとバックエンドを分離するアーキテクチャの採用が増えています。このような構成では、CSRF(クロスサイト・リクエスト・フォージェリ)対策に工夫が必要です。本セッションでは、伝統的なRailsアプリケーションのCSRF対策を振り返りながら、SPA + API構成でのCSRF対策の課題と、近年提案されている新しい対策方法について解説します。
特に、ブラウザのヘッダ情報(Origin, SameSite, Fetch Metadata など)を活用したシンプルなCSRF対策に焦点を当て、その実装方法について具体例を交えて紹介します。新しい対策の利点や、Railsでの実装手法を学ぶことで、アプリケーションのセキュリティを向上させるための知識をアップデートする機会となるでしょう。
発表資料
Speaker
- corocn corocn のGithubページ
-
株式会社Leaner Technologies所属のエンジニア。小規模で拡張性のあるアーキテクチャを日々模索しながら、スタートアップでのプロダクト開発に取り組んでいます。以前はID基盤をSaaSとして提供するクラウドサービスのアンバサダーを務め、認証認可やセッション管理に関する情報発信を行っています。