Configuring Rails Applications — Ruby on Rails Guides
config.action_controller.per_form_csrf_tokens configures whether CSRF tokens are only valid for the method/action they were generated for.
5.0から加わったこれ、tokenがmethodとactionに関連付くようになるオプションということで、自分でform_authenticity_tokenを直に呼んでいるところでは影響を受けるのかが気になってコードを読んでみた。
結果から言うと、自分でform_authenticity_tokenを呼んでいる場合には影響を受けない。
rails/request_forgery_protection.rb at master · rails/rails
# Sets the token value for the current session. def form_authenticity_token(form_options: {}) masked_authenticity_token(session, form_options: form_options) end
form_authenticity_tokenはform_optionsを引数で受け取っていて、デフォルトは空になってる。
rails/request_forgery_protection.rb at master · rails/rails
# Creates a masked version of the authenticity token that varies # on each request. The masking is used to mitigate SSL attacks # like BREACH. def masked_authenticity_token(session, form_options: {}) action, method = form_options.values_at(:action, :method) raw_token = if per_form_csrf_tokens && action && method action_path = normalize_action_path(action) per_form_csrf_token(session, action_path, method) else real_csrf_token(session) end
form_authenticity_tokenで受け取った引数はこんな感じで使われる。
ここのper_form_csrf_tokensは、config/initializers/new_framework_defaults.rbにあるやつそのもの。
ではform_optionsはどこから来るのかっていうと、ここ。
rails/url_helper.rb at master · rails/rails
def token_tag(token=nil, form_options: {}) if token != false && protect_against_forgery? token ||= form_authenticity_token(form_options: form_options) tag(:input, type: "hidden", name: request_forgery_protection_token.to_s, value: token) else "".freeze end end
url_helperの中だ。
ひとまず影響がないことが分かったけれど変わりやすそうな場所ではあるので、注意が必要かな。
