CSRF対策
#CSRF
基本
CookieにSameSite属性を付与する
注意点、SameSite属性が付与されていてもsubdomainからはCSRF可能
追加する対策として使用するフレームワークの方式に従う
Ruby on Rails
https://railsguides.jp/security.html#クロスサイトリクエストフォージェリ%EF%BC%88csrf%EF%BC%89
Sinatra
Hanami
todo
CORSヘッダについて
Origin(HTTP header)
認証を必要とするエンドポイントの場合
cookieにセッション情報をもつ場合
認証するCookieにSameSiteを付与する
javascriptによる操作に限定される場合
localStorageにセッション情報をもつ場合
localStorageの値はHTTPリクエスト時に自動で付与されない
javascriptによる操作でリクエストヘッダーまたはボディで認証情報を送信しているはず
追加のCSRF対策としては不要なはず
認証を必要としない場合(問い合わせフォームなど)
javascriptによる操作で限定される場合