railsのセキュリティについて
Ruby札幌: Ruby Sapporo Night vol. 6
railsのセキュリティについてのスライド。
見やすい、分かりやすい、要点押さえてそうの3拍子揃ったスライド。
メモ
- トップページが指定された場合のルーティング先を定義
→route.rb
- 各種デフォルトのテンプレートをきちんと差し替える
→public下
- Webサーバでファイルのアクセスに関する適切な設定を行う
→httpd.confしっかり
- 制御に絡む属性は保護する(モデル)
→attr_protected、attr_accesible
最初はattr_protected、属性が増えたらattr_accesibleへ
- コントローラメソッドのアクセス制御
→アクションではないメソッドはprivate、protected
- エスケープ処理(出力時)
→SafeERBを使用し漏れを検出
※mysql,postgersのみ
→sanitize
- エスケープ処理(to DB)
→プレースホルダ"?"の使用、バインド変数
- CSRF対策
→protect_from_forgery(:only => [:create,:update] で限定可能)
あとで調べる
SafeERBは使ったことないのであとで試す。
sanitizeも使ったことないのでとりあえずあとで調べる。
hしか使ったことないや。