我需要在發佈和放置請求時保護我的API for CSRF。爲了做到這一點,我認爲移動設備(例如iOS)需要向API服務器(node.js)發送令牌。該令牌必須經過加密幷包含將在服務器端進行解密的JSON
數據。使用IOS上的密鑰對json數據進行加密並使用節點j對其進行解密
要解密數據,移動設備使用服務器知道的相同密鑰。
例如:{_csrf: 123456789}
將從通過移動設備發送的令牌中解密,如果匹配,則由API檢查。
這是正確的方法嗎?如果不是什麼是正確的方式?
如何在iOS上加密Jon數據並在node.js上對其解密? (JWT令牌沒有庫iOS設備)
你能爲我提供一個示例代碼進行加密在iOS等數據解密上的node.js?
這不會保護CSRF。這根本不安全。使用CSRF,瀏覽器本身就是問題所在。你仍然必須防止CSRF。 –
由於沒有瀏覽器,因此沒有潛在的CSRF攻擊。 – zaph
「我需要爲CSRF保護我的API,併發布請求。」 「只需使用https ...」是的,這是不安全的部分。 HTTPS不能防止CSRF。對不起,如果我有點強大。 @zaph –