Rails 3.0.4と2.3.11からXHRリクエストの際もCSRFトークンの検証が必須になったので注意 - YomuKaku Memo

暮らしカテゴリーの変更を依頼記事元:

memo.yomukaku.net

57users がブックマークコメント

Rails 3.0.4と2.3.11からXHRリクエストの際もCSRFトークンの検証が必須になったので注意 - YomuKaku Memo

Rails 3.0.4と2.3.11がリリースされました。重要なセキュリティ対策のリリースのようです。最も大きな... Rails 3.0.4と2.3.11がリリースされました。重要なセキュリティ対策のリリースのようです。最も大きな変更点はCSRF対策強化で、この結果として、AJAXのために従来使用していたJavaScriptのコードでは、get以外のメソッドの部分が動作しなくなるため、当該箇所の修正が必要になります。 RailsではCSRFの防止にトークンが用いられています。Rails 3.0.3以前はAjaxのXHRリクエストではCSRFが起こりえないという前提でトークンの検証を行わないようになっていましたが、FlashやJava appletを利用した場合にcsrfが起こる可能性があるとのことで、Rails 3.0.4（およびRails 2系のRails 2.3.11）ではXHRリクエストの場合もトークンの検証を行うように変更されたようです。したがって、Rails 3.0.4（およびRails 2

nacika_inscatolare “<!DOCTYPE html> <html lang="ja"> <head> <meta charset="utf-8" /> <title>AJAX DELETE with Rails 3.0.4 and jQuery 1.5.0</title> <script src="http://ajax.aspnetcdn.com/ajax/jQuery/jquery-1.5.min.js" type="text/javascript"></script> <meta name="csrf-param" content="authenticity_token"/> <meta name="c

2013/10/24 リンク

As_hsp “<!DOCTYPE html> <html lang="ja"> <head> <meta charset="utf-8" /> <title>AJAX DELETE with Rails 3.0.4 and jQuery 1.5.0</title> <script src="http://ajax.aspnetcdn.com/ajax/jQuery/jquery-1.5.min.js" type="text/javascript"></script> <meta name="csrf-param" content="authenticity_token"/> <meta name="c