セキュリティ試験を受けたらapiでpostしている箇所がcsrf違反でレポートが上がってきました。
apiでcsrfって必要なの?
って感じでしたが実際にレポートあがってきてしまっているしよくよく考えたら必要じゃんってなったので実装します。
ググってみると情報が少ないですね。
みなさんgrapeでcsrfどうしているんでしょう。
before_logoutというwardenのフックメソッドがあるのでそこに追加
自分はconfig/initializers/devise.rbに追加しちゃいました。
1 2 3 4 5 |
|
アクションメソッドから呼び出したメソッドで呼ばれているかどうか
1
|
|
セキュリティ試験を受けたらapiでpostしている箇所がcsrf違反でレポートが上がってきました。
apiでcsrfって必要なの?
って感じでしたが実際にレポートあがってきてしまっているしよくよく考えたら必要じゃんってなったので実装します。
ググってみると情報が少ないですね。
みなさんgrapeでcsrfどうしているんでしょう。
doorkeeprの処理のなかで削除済のユーザのステータスが取りたくて、tokenを取得できるかやってみました。
イレギュラーアクセス -> tokenが取れない。
通常のアクセス -> tokenが取れる。ユーザがひける。
削除済または退会済みユーザへのアクセス -> tokenが取れる。ユーザがひけない。
って感じでしょうか?
Read on →Herokuでの大きいファイルアップロードはリクエストタイムアウトが30秒に設定されているのでやっかいです。
Herokuの公式でも4MBを超えるファイルをあげる場合はS3に直接あげてねって書いてあります。
https://devcenter.heroku.com/articles/s3#direct-upload
1
|
|
carriwaveを使っているのでcarriwave_directいいなと思いましたが、
carrierwave_direct
最終更新日が結構前でメンテされていないのかな?ってのとgemを使いすぎるとわけわかめになるので自力でやることにしました。
Read on →全体でかける場合はこうですかね。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
|
Railsである日を境に例外発生時にスタックトレースがでなくなっちゃいました。
1 2 |
|
railsのlogにはこれしかでない。
Read on →国際化対応。
DBの日時はutcで保存して表示する時にユーザによって該当のタイムゾーンで表示とか色々な知見はあるかと思いますが。
お金の区切りもあるんですね。
Doorkeeperを使ったoauthの仕組みでプラットフォーム側でパスワード変更の処理を書いててパスワード変更しても現在ログイン状態のユーザーがログアウトされなくて久しぶりにどっぷりハマったのでメモ。
Read on →一度は成功していたのに急にCircleCI 1.0がこけるようになってしまいました。
1
|
|
で
1 2 3 |
|
のようなエラー。
Read on →