Rails APIモードのためのシンプルで効果的なCSRF対策
Takahiro Tsuchiya • October 25, 2024 • Tokyo, Japan • Japanese • Talk

https://kaigionrails.org/2024/talks/corocn/

【発表概要】
昨今のフロントエンドのリッチ化に伴い、 Rails を API モードで利用しフロントエンドとバックエンドを分離するアーキテクチャの採用が増えています。このような構成では、CSRF（クロスサイト・リクエスト・フォージェリ）対策に工夫が必要です。本セッションでは、伝統的なRailsアプリケーションのCSRF対策を振り返りながら、SPA + API構成でのCSRF対策の課題と、近年提案されている新しい対策方法について解説します。

特に、ブラウザのヘッダ情報（Origin, SameSite, Fetch Metadata など）を活用したシンプルなCSRF対策に焦点を当て、その実装方法について具体例を交えて紹介します。新しい対策の利点や、Railsでの実装手法を学ぶことで、アプリケーションのセキュリティを向上させるための知識をアップデートする機会となるでしょう。

【発表者】
corocn
GitHub https://github.com/corocn

Kaigi on Railsは、初学者から上級者までが楽しめるWeb系の技術カンファレンスです。
https://kaigionrails.org/

Kaigi on Rails 2024