2
我在計劃一個主要通過客戶端應用程序通過API公開的Web應用程序。我試圖從iPhone客戶端向概念驗證應用程序發出一些請求,但不斷收到CSRF令牌錯誤。有沒有辦法從應用程序獲取令牌,然後作爲POST請求中的參數傳遞?我知道我可以關閉protect from forgery,但不想通過這樣做來危及安全。客戶端iPhone應用程序中的Rails CSRF令牌
A
回答
2
CSRF是一種攻擊,只能在Web上運行。因此,如果您只想將您的應用程序用作API,則可以關閉它,而不會有任何安全缺陷。
0
其他答案並不完全準確。攻擊者可能會創建一個基於Web的攻擊,該攻擊利用爲ios設計的開放式端點,並且缺少CSRF保護。您需要確保您創建的任何端點在某種程度上受到這種攻擊的保護(CSRF不是保護移動端點的推薦方式,但您一定需要確保新的端點不受基於Web的攻擊攻擊)。
相關問題
- 1. 如何在rails應用程序之間傳遞CSRF令牌
- 2. 找不到客戶端令牌,請設置客戶端令牌
- 3. 從服務器到AngularJS客戶端的CSRF令牌交換
- 4. Rails的Angular 2 CSRF令牌
- 5. Ruby on rails服務器應用程序+ IOS iPhone客戶端?
- 6. rails csrf令牌生存期
- 7. 在Ruby on Rails應用程序中使用客戶端SSL
- 8. CSRF令牌在負載均衡symfony2應用程序中無效
- 9. oAuth,一個客戶端一個令牌?或一個客戶端多個令牌?
- 10. ASP.Net中的客戶端應用程序
- 11. iPhone應用程序中的聊天客戶端
- 12. 在rails 3中關閉CSRF令牌
- 13. Rails應用程序中的電子郵件客戶端
- 14. 如何將JSON Web令牌傳輸到客戶端應用程序?
- 15. CSRF令牌生成
- 16. 更新客戶端應用程序
- 17. 如何從iPhone應用程序中刪除客戶端證書?
- 18. 帶Webpack的Rails 5.1:訪問CSRF令牌
- 19. CSRF不匹配令牌
- 20. 響應路由器中的csrf令牌
- 21. 笨,CSRF令牌
- 22. 客戶端應用程序服務 - 來自WPF客戶端的身份驗證
- 23. 如何在使用同步器令牌模式時將CSRF令牌發送給客戶端?
- 24. 客戶端響應應用程序.Json
- 25. Django的CSRF令牌
- 26. 不記名令牌和CSRF
- 27. 通過AppStore發佈iPhone應用程序的客戶端
- 28. EJB遠程應用程序 - 客戶端
- 29. SQL Server客戶端應用程序
- 30. PHP中的Laravel csrf令牌
我同意Aayush Kumar。 CSRF只適用於網絡,這意味着攻擊源於網絡,API是爲iPhone客戶端提供的,不會奇蹟般地保護您免受攻擊。 – Emirikol 2012-10-11 12:25:21