2020-01-21 2020/01/19 ReactでCSRF対策調査 docs.nestjs.com github.com csurf パッケージあたりから調べ始める csurf 、ログアウト/ログインしてユーザが変わってもトークンがinvalidにならない 認証とまったく連携してない CSRFトークンってそういうものなのか csurf のドキュメントのとおり { cookie: true } にしてるせいだった これだと独自のcookie storeに保存する sessionに保存するようにすればログアウト時にsession消してるので消える RailsのCSRF対策まわりのコード読んでみてもそんな感じっぽい(特にcurrent_user_idをトークンに含めて〜とかではなさそう) github.com