CSPのJSの実行の制限について調査して設定する。 デフォルトではCSPはコメントアウトされている。JSに関するポリシーを有効化する。そうするとJSを使っているテストが落ちるようになるので、report_onlyをtrueにして詳しいエラーメッセージを確認する。 Rail…

現在のサービスの要件が、ログインの煩わしさを省いてユーザビリティを高める目的で、ログイン機能なし、ランダムURLによってアクセスを絞り込むのみ、というものになっている。 これについて、現行の実装と、考えられるセキュリティリスクをリストアップし…

no-cors 先日の続き。 下記のようにnor-corsモードでリクエストすると、クロスオリジンでもブロックされなくなるとのことなので、セキュリティの穴にならないか調べた。 リクエストをno-corsモードで送ると、opaqueレスポンスが返ってくる。中にはデータは入…

Rails: 7.0.2.3 Ruby: 3.1.0 Railsのgem ‘rack-cors’ の動作がよくわからないので、動作確認してみた。HTTPの知識が浅いので動作確認の方法がなかなかわからなかったので、きちんと手順どおりに記録することにした。 確認したいのは、’rack-cors’の gem がな…