Railsのフォームにおいて、動的に決まるがユーザーに改ざんされたくない値の扱い方

Ruby on Railsでアプリを作成しています。

POSTでデータを送信する際のお話です。
通常はinput要素を用いユーザーに入力してもらいますが、ユーザーの入力ではなく、操作の流れで動的に決まる値があると思います。
このような場合、hidden属性(隠しフォーム)を用意し、JSで値を入れれば、実現できます。

例えば、ある講座があり、その開催日程一覧をセレクトボックスで表示し、クリックした日程で予約をするような場合です。
セレクトボックスの要素に日程のidを割り当て、クリックしたら
<input type="hidden name="schedule_id">
のような要素にvalue属性を動的に与えれば、実現できますよね。

しかし、hidden属性は、検証を使えば自由に変更できてしまいます。
だから機密情報には使ってはいけないと認識しています。

今回の例においては機密というほどではありませんが、他にもhiddenの使用機会があり、総じて改ざんが可能であるのは望ましくありません。

このようなケースを解決するメソッドは、Railsにあるのでしょうか？
要するに、ユーザーが決めるまでは値が定まっていない変数を、ユーザーに知られることなく送信する方法です。
セッション変数を使いたいのですが、クライアント側からセッション変数を設定する術を知りません。

アドバイスの程、よろしくお願い致します。

参考URL: https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a01_05.html

行動規範の内容に同意します

回答1件

ベストアンサー

ブラウザからセッション変数を設定するというのは無意味なアイデアです。
悪意あるユーザーはサーバーから受け取ったhtmlを改ざんしスクリプトタグを挿入するなどの手段で
任意のjavascriptを動かせます。
(まぁそんな大げさな事じゃなくてグリモンや開発者コンソールで充分ですが)
仮にそれらを封じたところでユーザーが動かしているブラウザがあなたが想定する正規なものでない可能性もあります。

改ざんだろうがユーザーからの入力には代わりありません。
なぜ改ざんされて困るか？というとユーザーが取ってはいけない値域へ改ざんされると困るからでしょう。
ならば、それを検証し排斥することでユーザーからの入力として扱えるかと思います。

今回のschedule_idの件ですと、