Rails

【Rails API】ActionController::InvalidAuthenticityTokenの解決方法(CSRF対策、protect_from_forgeryメソッド)

Rails

 

今回はRailsでAPIを叩いた際に発生した「ActionController::InvalidAuthenticityToken」の解決方法とその原因についてまとめました。APIを叩くツールとしてはTalend API Testerを用いています。

Rails
【Chrome拡張機能】APIを叩くことができる「Talend API Tester」の使い方を簡単にまとめてみたAPIを簡単に叩くことができるChromeの拡張機能「Talend API Tester」の使い方について解説しています。APIのテストをしたいけどクライアント側の実装がまだできていないといった場合に非常に役立つツールとなっています。...

エラー概要

Talend API Testerを用いてPATCHメソッドでAPIを叩くと「422 Unprocessable Entity」エラーが発生してしまいます。

PATCHメソッド 422エラー

 

ターミナルのログを見てみると「ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken)」が吐かれています。

ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken):

解決方法

このエラーを解決するには、aplication.controller.rbにprotect_from_forgeryメソッドを追記しましょう。この1行を追加するだけで解決します。

class ApplicationController < ActionController::Base
  protect_from_forgery
end

protect_from_forgeryメソッドとは

protect_from_forgeryメソッドは、CSRF(Cross-Site Request Forgery, クロスサイトリクエストフォージェリー)対策で用いられるメソッドです。

CSRF(Cross-Site Request Forgery)を簡単に説明すると、悪意のあるユーザーがサーバーへのリクエストを捏造して正当なものに見せかけ、認証済みユーザーを装うという攻撃手法です。Railsでは、一意のトークンを生成して送信のたびに真正性を確認することでこの種の攻撃から保護します。

参照: RailsのCSRF保護を詳しく調べてみた(翻訳)

 

定番のCSRF対策としては認証用トークンをアプリケーション内に差し込むということをし、そのアプリケーションが正当かどうかを判別します。しかしRailsではありがたいことに、protect_from_forgeryメソッドを追記するだけでCSRF対策を行ってくれます。

今回はprotect_from_forgeryメソッドが定義されていなかったため、外部からPOSTしようとした際にエラーが出たという流れになります。

まとめ

  • ActionController::InvalidAuthenticityTokenの解決方法としては、application.rbにprotect_from_forgeryの1行を追記する
  • protect_from_forgeryメソッドは、CSRF(Cross-Site Request Forgery, クロスサイトリクエストフォージェリー)対策で用いられるメソッド
  • CSRFは、悪意のあるユーザーがサーバーへのリクエストを捏造して正当なものに見せかけ、認証済みユーザーを装うという攻撃手法

参考

 

 

今回はRailsでAPIを叩いた際に発生する「ActionController::InvalidAuthenticityToken」の対処法について解説しました。CSRFは非常に重大なセキュリティ問題であるとRailsガイドで表記されているため、protect_from_forgeryメソッドは不要に削除しない方が良さそうです。

CSRFは、CVE (Common Vulnerabilities and Exposures) で報告されることはめったにありません (2006年でも0.1%以下) が、それでもGrossmanが言うところの「眠れる巨人」であり、危険なことに変わりはありません。筆者や他のセキュリティ専門家によるセキュリティ関連の実績に登場することはほとんどありませんが、CSRFは非常に重大なセキュリティ問題であることは強く認識していただきたいと思います。

参照: Railsガイド クロスサイトリクエストフォージェリ (CSRF)

COMMENT

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です