我有一個現有的軌道後端網站,使json電話到服務器。現在,我正在開發一個移動iOS應用程序來使用相同的後端,並在json中發送呼叫。但是,移動請求與失敗:安全可靠,可禁用jsr欄位調用的csrf標記?
WARNING: Can't verify CSRF token authenticity
各地計算器搜索,許多建議使用這樣的事情以禁用JSON電話CSRF檢查:
# Or this in your application_controller.rb
def verified_request?
if request.content_type == "application/json"
true
else
super()
end
end
但我的問題是,我不知道如何這是否可以防止json格式的csrf攻擊?攻擊者總是可以從他們的站點向我們的端點發送json請求。任何人都有這方面的見解?我找不到任何明確的答案。
謝謝Rook。是的,它有可能在csrf中破解json調用。看看這個頁面讓我更深入瞭解我們能夠解決這個問題的人。但是您是否知道如何使用由Rails生成的CSRF令牌,以便移動應用程序可以使用它們併發送請求? – Anish
@Anish你可以引導它,也許有一個靜態的get調用,總是返回令牌。 – rook
「你可以檢查引薦來確保它來自你信任的域名。」當然,這些可能很容易被僞造 – SooDesuNe