<h2 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h2>
Rails のセキュリティ対策というと、まずは <a href="https://railsguides.jp/security.html" target="_blank" rel="nofollow noopener noreferrer">Rails セキュリティガイド</a> を読んだ上で Rails Way にのっとって実装するのが基本だと思います。ただ、日々技術が進化しそれにあわせて新しい攻撃が生まれている中では「Rails のレールに乗っていれば大丈夫」とは言いきれません。アプリケーションの重要度によっては Rails のデフォルト設定だけでは不十分なこともあるかもしれません。
先日リリースされた『Web ブラウザセキュリティ』という本を読みはじめたので、登場したいくつかのレスポンスヘッダについて Rails ではどう対策されているのか（対策したらいいのか）を調べてみました。
<h2 id="%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%AE%E3%83%AC%E3%82%B9%E3%83%9D%E3%83%B3%E3%82%B9%E3%83%98%E3%83%83%E3%83%80">
<a class="header-anchor-link" href="#%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%AE%E3%83%AC%E3%82%B9%E3%83%9D%E3%83%B3%E3%82%B9%E3%83%98%E3%83%83%E3%83%80" aria-hidden="true"></a> デフォルトのレスポンスヘッダ</h2>
<a href="https://railsguides.jp/security.html#%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%AE%E3%83%98%E3%83%83%E3%83%80%E3%83%BC" target="_blank" rel="nofollow noopener noreferrer">Rails セキュリティガイド</a> にもある通り、Rails では以下のレスポンスヘッダがデフォルトで含まれるようになっています。
<div class="code-block-container"><pre class="language-ruby"><code class="language-ruby">config.action_dispatch.default_headers = {
 "X-Frame-Options" =&gt; "SAMEORIGIN",
 "X-XSS-Protection" =&gt; "1; mode=block",
 "X-Content-Type-Options" =&gt; "nosniff",
 "X-Download-Options" =&gt; "noopen",
 "X-Permitted-Cross-Domain-Policies" =&gt; "none",
 "Referrer-Policy" =&gt; "strict-origin-when-cross-origin"
}
</code></pre></div><iframe id="zenn-embedded__83ed4dc8f3251" src="https://embed.zenn.studio/github#zenn-embedded__83ed4dc8f3251" data-content="https%3A%2F%2Fgithub.com%2Frails%2Frails%2Fblob%2F2afc9059c9eb509f47d94250be0a917059afa1ae%2Factionpack%2Flib%2Faction_dispatch%2Frailtie.rb%23L28-L35" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://github.com/rails/rails/blob/2afc9059c9eb509f47d94250be0a917059afa1ae/actionpack/lib/action_dispatch/railtie.rb#L28-L35" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/rails/rails/blob/2afc9059c9eb509f47d94250be0a917059afa1ae/actionpack/lib/action_dispatch/railtie.rb#L28-L35</a>
<h2 id="cors-(cross-origin-resource-sharing)">
<a class="header-anchor-link" href="#cors-(cross-origin-resource-sharing)" aria-hidden="true"></a> CORS (Cross-Origin Resource Sharing)</h2>
<code>XMLHttpRequest</code> や <code>Fetch API</code> で接続された異なる Origin にリソースを共有することをクロスオリジンリソースシェアリング (CORS) といいます。
CORS は、外部サービスのアクセス制限を行うためのもので、クライアントからサーバーにアクセスする権限を確認するための仕組みです。リソースの提供者が異なる Origin からアクセスされることを許可するためには <code>Access-Control-Allow-Origin</code> ヘッダを使います。
Rails では、app/controllers/application_controller.rb などで以下のようにヘッダを設定したり、<a href="https://github.com/cyu/rack-cors" target="_blank" rel="nofollow noopener noreferrer">rack-cors</a> という gem もあるようです。
<div class="code-block-container"><pre class="language-ruby"><code class="language-ruby">headers["Access-Control-Allow-Origin"] = "*"
headers["Access-Control-Allow-Methods"] = %w[GET POST PUT DELETE].join(",")
headers["Access-Control-Allow-Headers"] = %w[X-My-Request-Header]
</code></pre></div><h2 id="csp-(content-security-policy)">
<a class="header-anchor-link" href="#csp-(content-security-policy)" aria-hidden="true"></a> CSP (Content Security Policy)</h2>
XSS に対する防御策として、CSP (Content Security Policy) があります。
<a href="https://railsguides.jp/security.html#%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0-xss" target="_blank" rel="nofollow noopener noreferrer">XSS</a> は、Web ブラウザの入力フィールドや URL パラメータに、悪意のあるスクリプトを埋め込むことでリクエストを改ざんするという攻撃方法です。
CSP は <code>Content-Security-Policy</code> レスポンスヘッダを使って、Web ブラウザで使える機能を細かく設定ができる仕組みです。例えば、<code>Content-Security-Policy: script-src 'self';</code> のように設定した場合、同じオリジンの JavaScript だけが実行可能となり、異なるオリジンのスクリプトは実行できなくなります。これにより、外部の悪意のある処理を実行させようとするスクリプトが埋め込まれた場合などの対策となります。
Rails では CSP を設定するための DSL が提供されています。（詳細は <a href="https://railsguides.jp/security.html#content-security-policy%EF%BC%88csp%EF%BC%89" target="_blank" rel="nofollow noopener noreferrer">Rails セキュリティガイド - 9.1 Content Security Policy (CSP)</a> を参照してください。）
汎用性があり強度が高い CSP の例として Google が推奨している <a href="https://csp.withgoogle.com/docs/strict-csp.html" target="_blank" rel="nofollow noopener noreferrer">CSP 設定</a> を参考に Rails で設定するとこんな感じでしょうか。
<div class="code-block-container">
<div class="code-block-filename-container">config/initializers/content_security_policy.rb</div>
<pre class="language-ruby"><code class="language-ruby">Rails.application.config.content_security_policy do |policy|
 policy.object_src :none
 policy.script_src :unsafe_inline, :unsafe_eval, :strict_dynamic, :https, :http
 policy.base_uri :none

 # Specify URI for violation reports
 policy.report_uri "/csp-violation-report-endpoint"
end

# If you are using UJS then enable automatic nonce generation
Rails.application.config.content_security_policy_nonce_generator = -&gt; request { SecureRandom.base64(16) }

# Set the nonce only to specific directives
Rails.application.config.content_security_policy_nonce_directives = %w(script-src)
</code></pre>
</div>nonce の自動生成を有効にしたので、View で JavaScript を読み込んでいる部分に <code>nonce: true</code> を追加します。
<div class="code-block-container">
<div class="code-block-filename-container">app/views/layouts/application.html.erb</div>
<pre class="language-erb"><code class="language-erb">&lt;%= csp_meta_tag %&gt;

&lt;%= javascript_include_tag 'application', nonce: true %&gt;
</code></pre>
</div><code>&lt;script&gt;</code> タグを使っている場合はこんな感じ。
<div class="code-block-container"><pre class="language-erb"><code class="language-erb">&lt;script nonce="&lt;%= content_security_policy_nonce %&gt;"&gt;
 ...
&lt;/script&gt;
</code></pre></div><h2 id="hsts-(http-strict-transport-security)">
<a class="header-anchor-link" href="#hsts-(http-strict-transport-security)" aria-hidden="true"></a> HSTS (HTTP Strict Transport Security)</h2>
HTTP は通信が暗号化されていない（平文通信）ため、中間者攻撃を受け盗聴される恐れがあります。攻撃を回避するために、暗号化された HTTPS 通信を利用するのが最近では一般的になっています。
HSTS は、サーバーからクライアントに対して「このホストに今後アクセスするときは HTTPS を利用してね」ということを伝える仕組みです。これは <code>Strict-Transport-Security</code> というレスポンスヘッダを付与することで行われます。
Rails では config/environments/production.rb などで <code>config.force_ssl = true</code> を設定すると、自動的に<code>Strict-Transport-Security</code> が付与されるようになっています。
デフォルトのオプションは
<iframe id="zenn-embedded__b70ce53f797ee" src="https://embed.zenn.studio/github#zenn-embedded__b70ce53f797ee" data-content="https%3A%2F%2Fgithub.com%2Frails%2Frails%2Fblob%2F5710128a84d5d03646dca6118db0e3a5715904ec%2Factionpack%2Flib%2Faction_dispatch%2Fmiddleware%2Fssl.rb%23L57-L59" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://github.com/rails/rails/blob/5710128a84d5d03646dca6118db0e3a5715904ec/actionpack/lib/action_dispatch/middleware/ssl.rb#L57-L59" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/rails/rails/blob/5710128a84d5d03646dca6118db0e3a5715904ec/actionpack/lib/action_dispatch/middleware/ssl.rb#L57-L59</a>
<div class="code-block-container"><pre class="language-ruby"><code class="language-ruby">def self.default_hsts_options
 { expires: HSTS_EXPIRES_IN, subdomains: true, preload: false }
end
</code></pre></div>となっているので、通常は以下のような <code>Strict-Transport-Security</code> ヘッダが付与されるはずです。
<div class="code-block-container"><pre><code>Strict-Transport-Security: max-age=31536000; includeSubDomains
</code></pre></div><h2 id="%E6%89%80%E6%84%9F">
<a class="header-anchor-link" href="#%E6%89%80%E6%84%9F" aria-hidden="true"></a> 所感</h2>
Rails がセキュリティ対策の方法をいろいろ提供してくれているので、やっぱり Rails Way に乗っているのは大切ですね。そのまま使っているだけでも基本的な対策がされているのは本当に便利です。
とはいえ、セキュリティのことを理解しておくことは重要なので引き続き意識していきたいと思います。
<h2 id="%E5%8F%82%E8%80%83">
<a class="header-anchor-link" href="#%E5%8F%82%E8%80%83" aria-hidden="true"></a> 参考</h2>
<ul>
<li>📕 <a href="https://www.lambdanote.com/collections/frontpage/products/wbs" target="_blank" rel="nofollow noopener noreferrer">Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する　米内貴志</a>
</li>
<li>📕 <a href="https://www.amazon.co.jp/dp/4873119030Real" target="_blank" rel="nofollow noopener noreferrer">Real World HTTP 第2版 ―歴史とコードに学ぶインターネットとウェブ技術 渋川 よしき</a>
</li>
</ul>

Rails アプリケーションのセキュリティ対策（CORS/CSP/HSTS）

デフォルトのレスポンスヘッダ

Discussion