CSRF（クロスサイトリクエストフォージェリ）について学んだのでざっくりメモ。

CSRFとは？

攻撃者が罠サイトを使って、被害者のブラウザに被害者がログイン状態であることを利用して不正なリクエストをサーバーへ送らせる攻撃。

例

被害者は自分の銀行サイト(bank.com)で取引を行うためにサイトにログイン。正常な操作を行う。
その後、ログアウトせずに攻撃者のサイト(evil.com)へアクセス。
このサイトでは裏でbank.comへのリクエストを仕込まれており、被害者の気付かぬうちにbank.comのCookieのログイン情報が利用され、それを受け取ったbank.comのサーバーがCookieのログイン情報から正規のリクエストだと認識し、リクエスト通りの操作を実行してしまう、といったことが起きる。

（開発者視点から）どのように防ぐか？

Cookieでセッション管理をしている場合、SameSite属性をLaxにすることで、他サイトからのリクエストでCookieが送信されないようにする。
ただし、リンクなどからのGETリクエストではCookieが送信されてしまうため、そもそもGETリクエストで重要な操作ができないような設計にする。

例外は文字通りプログラムの実行中に発生した「例外的な問題」。もっと簡単に言えば「エラーが起きてプログラムの実行を続けることができなくなった状態」とも言える。
例外は補足してプログラムを続行させることもできるし、プログラムを続行できない異常事態として意図的に発生させることもできる。
例外を適切に扱えば堅牢で読みやすいコードが出来上がるし、エラーが起きた場合でも調査しやすくなる。

例外を補足して処理を続行する

例外処理のもっとも単純な構文は以下

begin
    # 例外が起きうる処理
rescue
    # 例外が発生した場合の処理
end

例外オブジェクトから情報を取得する

Rubyでは例外自身もオブジェクトになっている。そのため、例外オブジェクトのメソッドを呼び出すことで発生した例外に関する情報を取得することができる。
messageメソッドは例外発生時のエラーメッセージを返し、backtraceメソッドはバックトレース情報（つまりメソッドの呼び出し履歴）を配列にして返す。
例外オブジェクトから情報を取得したい場合は次のような構文を使う

begin
    # 例外が起きうる処理
rescue => 例外オブジェクトを格納する変数
  # 例外が発生した場合の処理
end

以下コード例

begin
  1 / 0
rescue => e
  puts "エラークラス: #{e.class}"
  puts "エラーメッセージ: #{e.message}"
  puts "バックトレース -----"
  puts e.backtrace
  puts "-----"
end

このコードを実行すると以下のような出力になる。

エラークラス: ZeroDivisionError
エラーメッセージ: divided by 0
バックトレース -----
sample.rb:2:in `/'
sample.rb:2:in `<main>'
-----

クラスを指定して補足する例外を限定する

次のような構文を使って例外のクラスを指定すると、例外オブジェクトのクラスが一致した場合のみ、例外を補足することができる

begin
    # 例外が起きうる処理
rescue 補足したい例外クラス
    # 例外が発生した場合の処理
end

以下のコードはZeroDivisionErrorが発生した場合のみrescue節のコードが実行され、プログラムを続行することができる。ZeroDivisionError以外のエラーは捕捉されず、プログラムが異常終了する。

begin
    1 / 0
rescue ZeroDivisionError
    puts '0で除算しました'
end
#=> 0で除算しました

begin
    # NoMethodErrorが発生する
    'abc'.foo
rescue ZeroDivisionError
    puts '0で除算しました'
end
#=> undefined method `foo' for "abc":String (NoMethodError)

意図的に例外を発生させる

例外はコード中で意図的に発生させることもできる。例外を発生させる場合にはraiseメソッドを使う。
raiseメソッドに文字列だけを渡した場合はRutimeErrorクラスの例外が発生する。
第一引数に例外クラスを、第二引数にエラーメッセージを渡すとRuntimeErrorクラス以外の例外を発生させることができる。

def traffic_light(color)
  case color
  when :blue
    "進む"
  when :yellow
    "注意して止まる"
  when :red
    "止まれ"
  else
    raise ArgumentError, "無効な色です。#{color}"
  end
end

traffic_light(:blue)
#=> "進む"

trafic_light(:green)
#=> 無効な色です。green (ArgumentError)

例外処理のベストプラクティス

1. 安易にrescueを使わない
   例外はrescue説で補足することで処理を続行できるが、すべての例外をrescueすべきかというとそうではない。むしろ、rescueすべき例外の方が少ない。
   プログラミング初心者は「例外が発生したらrescueで補足すればいいんだな」と考えるのではなく、「例外が発生したら即座に異常終了させよう」もしくは「フレームワークの共通処理に全部丸投げしよう」と考える方が安全。
2. 例外処理の対象範囲と対象クラスを極力絞り込む
   例外処理を書く場合は、例外が発生しそうな箇所と発生しそうな例外クラスをあらかじめ予想し、その予想を例外処理のコードに反映させる。例外処理の範囲が広すぎたり、補足する例外クラスの種類が多すぎると、本来は異常終了扱いにすべき例外まで続行可能な例外として扱われる恐れがある。
3. 例外処理よりも条件分岐を使う
   begin ~ rescueを使うよりも条件分岐を使った方が可読性やパフォーマンスの面で有利。例外処理を書く前に公式リファレンスを読んで、問題の有無を事前に確認できるメソッドが用意されていないかチェックする。

   begin/endを省略するrescue修飾子

   rescueは修飾子として使うこともできる。構文は次のようになる。

例外が発生しそうな処理 rescue 例外が発生したときの戻り値

begin/endを省略すると補足する例外クラスは指定できない。例外処理を細かく制御したい場合はrescue修飾子でなく、begin~endを使った例外処理を書く方がよい。

第７章はクラスについて。
クラスは内部にデータを保持し、さらに自分が保持しているデータを利用する独自のメソッドを持つことができる。データとそのデータに関するメソッドが常にセットになるので、クラスを使わない場合に比べてデータとメソッドの整理がしやすくなる。

クラスの定義方法

# クラス名は必ず大文字で始める。キャメルケースで書くのが一般的
class ClassName
end

インスタンスメソッド・クラスメソッドの定義方法

class ClassName
    # インスタンスメソッド（インスタンスに対して呼び出すことのできるメソッド）の定義
    def sample_method
        # 処理
    end
    
    # メソッドの前にself.を付けるとクラスメソッドを定義できる
    def self.sample_method
        # 処理
    end
end

クラスの内部ではインスタンス変数を使うことができる。インスタンス変数は同じインスタンスの内部で共有される変数。@で始まる変数がインスタンス変数になる。＠が付かない変数はローカル変数となる。

# インスタンスを作成し、helloメソッドを使おうと思ってもエラーになる。
# nameがインスタンス変数でなく、インスタンス内部で共有できないため。
class User
  def initialize(name)
    name = name
  end

  def hello
    "Hello, I am #{name}."
  end
end
#=> `hello': undefined local variable or method `name' for #<User:0x0000000100dfb8e8> (NameError)

# nameがインスタンス変数のため正しく動作する
class User
  def initialize(name)
    @name = name
  end

  def hello
    "Hello, I am #{@name}."
  end
end
#=> "Hello, I am Alice."

メソッドの表記法
- Rubyではインスタンスメソッドを表す場合に”クラス名#メソッド名”と書くことがある。
- クラスメソッドの場合は”クラス名.メソッド名”（または”クラス名::メソッド名”）と書く。

クラスメソッドをインスタンスメソッドで呼び出す
クラスメソッドをインスタンスメソッドの内部から呼び出す場合はクラス名.メソッド名と書く。

class SampleClass
    def self.example_method(foo)
        # なんらかの処理
    end
    
    def example_method
        # インスタンスメソッドからクラスメソッドを呼び出している
        result = SampleClass.example_method(foo)
    end
end

クラスの継承の書き方

# SubClassはSuperClassを継承している
class SubClass < SuperClass
end

privateメソッド

# privateメソッドはクラスの外からは呼び出せず、クラスの内部でのみ使えるメソッド
class SampleClass
    # publicメソッド。クラスの外部から呼び出せる
    def foo
    end
    
    # ここから下で定義されたメソッドはprivate
    private
    # クラスの内部でのみ使うことができる
    def bar
    end
end

クラス外部からの定数参照方法
クラス名::定数名とすると、クラスの外から定数を参照できる。

# Rubyではメソッド内にスコープを限定した定数を定義できない
# そのためクラス構文の直下で定義する必要がある
class SampleClass
    FOO = "BAR"
end

SampleClass::FOO
#=> "BAR"

入れ子になったクラスの定義

class 外側のクラス
    class 内側のクラス
    end
end

クラス内部に定義したクラスは::を使って参照する

外側のクラス::内側のクラス

第4章を読み終わりました。自分の中で特に重要だと思ったことは以下です。

要素の変更、追加、削除

配列[添え字] = 新しい値で指定した要素を変更できる。

a = ["satou", "tanaka", "yamada"]
a[1] = "takahashi"
a #=> ["satou", "takahashi", "yamada"]

<<を使うと、配列の最後に値を追加できる

a = []
a << "a"
a << "b"
a << "c"
a #=> ["a", "b", "c"]

配列の特定の位置にある要素を削除したいときにはdelete_atメソッドを使う。

a = [1, 2, 3]
a.delete_at(1) #=> 2
a #=> [1, 3]

Rubyの繰り返し処理

Rubyにもfor文はあるが、繰り返し処理をするときには配列自身に対して繰り返せという命令を送る。配列のeachメソッドは配列の要素を最初から最後まで順番に取り出すこと。取り出した要素をどう扱うかはブロックに記述する。

numbers = [1, 2, 3, 4]
sum = 0
# doからendまでがブロック
# ブロックパラメータのnはnでなくともいい。自由に決められる。
numbers.each do |n|
    sum += n
end
sum #=> 10

eachの他にmapもよく使われる。eachの戻り値は元の配列。mapの戻り値は新しい配列。

# 配列で受け取った数値の各要素を10倍にして返す関数
# eachを使った場合
def example_function(numbers)
  result = []
  numbers.each do |n|
    result << n * 10
  end
  # eachの戻り値は受け取った配列になるので、明示的にresultを返り値として書く必要がある
  result
end

# mapを使った場合
# 戻り値は新しい配列になるので、結果は同じ
def sum_numbers(numbers)
    numbers.map do |n|
        n * 10
    end
end

また、当初この関数を作成するとき複数の要素が入った配列を引数として渡すので、引数の先頭に*をつけて*numbersのように可変長引数にしなければいけないのでは？と思い、そのような関数を作成していました。
しかしそれで実行すると

num_arr = [1, 2, 3, 4, 5]

def example_function(*numbers)
  result = []
  numbers.each do |n|
    result << n * 10
  end
  result
end

example_function(num_arr)
#=> [[1,2,3,4,5,...(省略)...1,2,3,4,5]]

このような結果になってしまいました。なぜこうなったかというと、引数の先頭に*をつけて可変長引数にすると、可変長引数は配列として受け取られます。そのため、
numbers = [[1, 2, 3, 4, 5]] となり、ブロックパラメータnは[1, 2, 3, 4, 5]となってしまうわけです。
配列に対して*10というのは、「その配列を１０回繰り返せ」という命令になってしまうため、望んでいた[10, 20, 30, 40, 50]という結果が得られず、上記のような結果になってしまっていました。
配列の要素がいくつであろうと受け取る配列自体の数は１つでいいため、引数は*numbersとせずにnumbersでよかったのはいい学びでした。

do…endと{}

do…endの代わりに{}で囲んでもブロックを作れる。
使い分けは明確に決まっているわけではないが、改行を含む長いブロックを書く場合はdo..end、一行でコンパクトに書きたい時は{}と使い分けられるケースが多い。

numbers = [1, 2, 3, 4]
sum = 0
numbers.each { |n| sum += n }
sum #=> 10

&とシンボルを使ってもっと簡潔に書く

1. ブロックパラメータが１つだけ
2. ブロックの中で呼び出すメソッドには引数がない
3. ブロックの中で、ブロックパラメータに対してメソッドを１回呼び出す以外の処理がない
   この３つの条件が揃ったとき、&とシンボルを使って簡潔にブロックを記述できる。

['ruby', 'java', 'python'].map { |s| s.upcase } #=> ["RUBY", "JAVA", "PYTHON"]

# &とシンボルを使って書く
["RUBY", "JAVA", "PYTHON"].map(&:upcase) #=> ["RUBY", "JAVA", "PYTHON"]

%記法で文字列の配列を簡潔に作る

# %wで文字列の配列を作成する
%w! apple melon orange! #=> ["apple", "melon", "orange"]
%w(apple melon orange)  #=> ["apple", "melon", "orange"]

# %Wを使うと、式展開や改行文字(/n)などを含めることができる
prefix = "This is"
%W(#{prefix}\ an\ apple small\nmelon orange)
#=> ["This is an apple", "small\nmelon", "orange"]

添え字付きの繰り返し処理

eachメソッドでは何番目の要素を処理しているのか判別できない。
each_with_indexメソッドを使うとブロックパラメータの第２パラメータに添え字を渡してくれる。

fruits = ["apple", "melon", "orange"]
fruits.each_with_index { |fruit, i| puts "#{i}: #{fruit}" }
#=> 0: apple
#=> 1: melon
#=> 2: orange

mapでインデックスを取得したい場合は、with_indexメソッドをmapと組み合わせて使う。

fruits = ['apple', 'orange', 'melon']
fruits.map.with_index { |fruit, i| "#{i}: #{fruit}" }
#=> ["0: apple", "1: orange", "2: melon"]