SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog
こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れつつ、最終的にHSTS(HTTP Strict Transport Security)のような注意点を含めて振り返るのに役立てていただければと思います。 前提条件 Cookieについて Cookieの属性について SameSite属性について SameSite属性に関する落とし穴 SameSite属性を指定しなかった場合の挙動 SameSite: Strictでも攻撃が成功するケース 例1: スキームだけ違うケース 例2: サブドメイ
参考 6.4.7. 307 Temporary Redirect | RFC 7231 – HTTP/1.1: Semantics and Content2. HSTS の問題点このHSTS、以下のようなことが起きるとかなり面倒です。 ある期間、example.com というドメインのウェブサイトを運営しているウェブサーバーが Strict-Transport-Security というレスポンスヘッダを返すよう設定されていました。その期間中にそのウェブサーバーにアクセスしたブラウザは、ブラウザ内の「HSTS適用ドメイン」に example.com を追加します。しばらくして、このウェブサイトにおいて「 https でアクセスされると何らかの問題が起きる」ことが発覚したとします。サイト運営者は http でもアクセスできるように、example.com のウェブサーバーが、Strict-Tr
Rails: config.force_ssl = true によるHSTSの動作をローカル環境とChromeで試してみた|TechRacho by BPS株式会社
2020.06.12 Rails: config.force_ssl = true によるHSTSの動作をローカル環境とChromeで試してみた こんにちは、hachi8833です。RailsのHSTS周りでハマったので、自分のためにメモします。 Rails 5.0以降ではforce_sslでHSTSも有効になる Rails 5.0以降では、アプリケーション設定でconfig.force_ssl = trueを指定すると、HSTS設定「も」同時に有効になります。 参考: Rails 5 adds more control to fine tuning SSL usage | BigBinary Blog 参考: HTTP Strict Transport Security - Wikipedia HTTP Strict Transport Security (エイチティーティーピー・ストリ
以下の記事の続きです。 Rails: config.force_ssl = true によるHSTSの動作をローカル環境とChromeで試してみた 参考: Rails API ActionDispatch::SSL ⚓Rails 5と6のHSTS設定方法 Rails 5以降では、config/environments/production.rbで以下の設定をコメント解除すると、production環境で強制的にHTTPS通信を試みるようになり、同時にHSTS「も」有効になります。 config.force_ssl = true ドキュメント: Rails アプリケーションを設定する - Railsガイド production環境のRailsサーバーでHSTS(HTTP Strict Transport Security)が有効になると、サーバーからのHTTPレスポンスに以下のようなStri
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HSTS が原因で、ウェブサイトが勝手にhttps接続しないようにする
Rails 5と6のHSTS設定方法|TechRacho by BPS株式会社