我在計劃一個主要通過客戶端應用程序通過API公開的Web應用程序。我試圖從iPhone客戶端向概念驗證應用程序發出一些請求,但不斷收到CSRF令牌錯誤。有沒有辦法從應用程序獲取令牌,然後作爲POST請求中的參數傳遞?我知道我可以關閉protect from forgery
,但不想通過這樣做來危及安全。客戶端iPhone應用程序中的Rails CSRF令牌
2
A
回答
2
CSRF是一種攻擊,只能在Web上運行。因此,如果您只想將您的應用程序用作API,則可以關閉它,而不會有任何安全缺陷。
0
其他答案並不完全準確。攻擊者可能會創建一個基於Web的攻擊,該攻擊利用爲ios設計的開放式端點,並且缺少CSRF保護。您需要確保您創建的任何端點在某種程度上受到這種攻擊的保護(CSRF不是保護移動端點的推薦方式,但您一定需要確保新的端點不受基於Web的攻擊攻擊)。
相關問題
- 1. 將csrf令牌傳遞給客戶端應用程序
- 2. 在客戶端應用程序中驗證令牌
- 3. 如何在rails應用程序之間傳遞CSRF令牌
- 4. 從PHP調用rest post api時,CSRF令牌無效客戶端
- 5. 找不到客戶端令牌,請設置客戶端令牌
- 6. 從服務器到AngularJS客戶端的CSRF令牌交換
- 7. Flask-Security CSRF令牌
- 8. Ruby on rails服務器應用程序+ IOS iPhone客戶端?
- 9. Rails的Angular 2 CSRF令牌
- 10. 客戶端和令牌?
- 11. rails csrf令牌生存期
- 12. 如何續訂客戶端應用程序中的訪問令牌?
- 13. 無縫授權令牌到期應付的客戶端應用程序
- 14. Laravel/Angular應用程序中的CSRF令牌不匹配
- 15. Rails API應用程序中ActionFable的Websocket客戶端
- 16. 在Ruby on Rails應用程序中使用客戶端SSL
- 17. iPhone應用程序中的聊天客戶端
- 18. CSRF令牌在負載均衡symfony2應用程序中無效
- 19. ASP.Net中的客戶端應用程序
- 20. oAuth,一個客戶端一個令牌?或一個客戶端多個令牌?
- 21. 如何驗證CSRF令牌?
- 22. Rails應用程序中的電子郵件客戶端
- 23. 在rails 3中關閉CSRF令牌
- 24. 刷新令牌是否鏈接到Web應用程序客戶端ID /客戶端密鑰?
- 25. Django不返回CSRF令牌
- 26. 如何從iPhone應用程序中刪除客戶端證書?
- 27. csrf令牌使用
- 28. 如何將JSON Web令牌傳輸到客戶端應用程序?
- 29. 使用本機應用程序客戶端ID刷新令牌獲取訪問令牌
- 30. 更新客戶端應用程序
我同意Aayush Kumar。 CSRF只適用於網絡,這意味着攻擊源於網絡,API是爲iPhone客戶端提供的,不會奇蹟般地保護您免受攻擊。 – Emirikol 2012-10-11 12:25:21