actionpack-3.2.2/lib/action_controller/metal/request_forgery_protection.rb
line:67
def protect_from_forgery(options = {})
self.request_forgery_protection_token ||= :authenticity_token
prepend_before_filter :verify_authenticity_token, options
end
-
protect_from_forgeryはデフォルトでApplicationControllerで宣言されている。 -
verify_authenticity_tokenをすべてのアクションの前に実行するようになる。
line:72
def verify_authenticity_token
unless verified_request?
logger.warn "WARNING: Can't verify CSRF token authenticity" if logger
handle_unverified_request
end
end
line:84
def handle_unverified_request
reset_session
end
-
verified_request?がfalseの場合はセッションがリセットされる。
line:93
def verified_request?
!protect_against_forgery? || request.get? ||
form_authenticity_token == params[request_forgery_protection_token] ||
form_authenticity_token == request.headers['X-CSRF-Token']
end
-
params[request_forgery_protection_token]はprotect_from_forgeryの中で定義されている通りparams[:authenticity_token]になる。 -
params[:authenticity_token]はformヘルパーが自動生成するhiddenフィールドから送信される。 -
params[:authenticity_token]がない場合でも、HTTPヘッダーのX-CSRF-Tokenを設定すればいい。
line:100
def form_authenticity_token
session[:_csrf_token] ||= SecureRandom.base64(32)
end
-
params[:authenticity_token]またはrequest.headers['X-CSRF-Token']がsession[:_csrf_token]と一致しているかどうかが、CSRFトークンの検証の本体である。