railsのCSRF対策について
トークンの生成
Rails new した後のapp/views/layouts/application.html.erbに<%= csrf_meta_tags %>のタグが記述されています。
このcsrf_meta_tagsメソッドは以下の定義がされています。
def csrf_meta_tags
if defined?(protect_against_forgery?) && protect_against_forgery?
[
tag("meta", name: "csrf-param", content: request_forgery_protection_token),
tag("meta", name: "csrf-token", content: form_authenticity_token)
].join("\n").html_safe
end
end
レンダリングされるとする時に以下を行います。
- Sessionにトークンを格納
SessionStoreを設定している場合はそのストアを見に行きます。
- HTMLに暗号化したトークンを出力
以下のようなHTMLが生成されます。
<meta name="csrf-param" content="authenticity_token" />
<meta name="csrf-token" content="vtaJFQ38doX0b7wQpp0G3H7aUk9HZQni3jHET4yS8nSJRt85Tr6oH7nroQc01dM+C/dlDwt5xPff5LwyZcggeg==" />
検証
ユーザーがPOSTリクエストを送信するときに、HTMLに埋められていたCSRFトークンも一緒に送信されます。
RailsのCSRF対策では、以下の2つのトークンが同一か検証します。
<meta name="csrf-token" content="vtaJFQ38doX0b7wQpp0G3H7aUk9HZQni3jHET4yS8nSJRt85Tr6oH7nroQc01dM+C/dlDwt5xPff5LwyZcggeg==" />に埋め込まれたトークンvtaJFQ38doX0b7wQpp0G3H7aUk9HZQni3jHET4yS8nSJRt85Tr6oH7nroQc01dM+C/dlDwt5xPff5LwyZcggeg==Sessionで保持しているトークン