CSRF驗證與Android應用程序的Web服務

Question

我已經創建了一個完全正常工作的Web服務。但是，只要在config/main.php中啓用CSRF驗證，當嘗試使用Web服務時會出現以下錯誤消息：

無法驗證CSRF令牌。

而不是跳過CSRF令牌驗證，有沒有其他解決方案呢？

當通過Android應用程序使用網絡服務時，是否有一種方法可以實際驗證CSRF令牌的成功？

Answer 1

這取決於問題中沒有提到的多種事情。

第一個問題是驗證如何在服務中起作用。如果它是客戶端瀏覽器不會自動發送的東西（即不是基於cookie的，而是例如添加到請求頭的令牌），那麼這些服務不會受到CSRF的攻擊，您可以關閉csrf保護。

如果它使用cookies（大多數情況下可能不是最好的服務），那麼您需要保護它免受CSRF攻擊。至於如何，這取決於實施什麼保護。如果它是標準的synchronizer token pattern，那麼您需要先通過GET下載頁面，然後提取該令牌並將其發送回相應的POST/PUT/DELETE請求中的相應字段。這在移動應用程序中看起來很尷尬，您最好將API更改爲基於令牌的身份驗證。 :)如果是類似於double posting的東西，則可以製作服務中接受的雙張標記。如果是別的，你需要了解保護是如何工作的，並找出如何將正確的東西傳遞給服務。

作爲旁註，它不僅基於cookie的身份驗證可能容易受到CSRF的影響。例如，如果API使用HTTP基本身份驗證，那麼它也會被瀏覽器緩存並自動發送，因此如果用戶直接向瀏覽器輸入憑據，就很容易受CSRF攻擊（但這是一個奇怪的用例，可以降低風險）。客戶端證書也由瀏覽器自動發送，同樣可能容易受到CSRF攻擊。

所以總結起來（以及一些簡化，詳見上文）：

1. 是對服務身份驗證cookie爲基礎的？
   • 否 - >刪除CSRF保護，它不容易（但看到上面的例外），完成。基於令牌> 2.
2. 可以更改身份驗證（與令牌在請求的頭部被髮送） -
3. 是？
   • 是 - >更改它，完成。
   • 否 - > 3.
4. CSRF保護的方法是什麼？
   • 同步標記模式 - >你需要一個頁面來獲得令牌使用
   • 雙發帖 - >取決於執行，你可能能夠雙崗在cookie適當的值和頭
   否則
   • 東西 - >瞭解如何保護工作，以及如何可以發出正確的令牌

另外要注意，如果CORS是在服務（不需要移動應用），即複雜化啓用事情有點CSRF，但這是一個正交的問題。