Android應用程序可以通過解析網頁抓取CSRF令牌嗎？

Question

可以說有一個網站，不提供api服務。但是，一個合法的Android應用程序想要提供有用的服務。所以他們首先要求用戶在該網站上創建一個帳戶。然後，一旦用戶登錄，他們就可以執行某些功能，例如「喜歡」某篇文章或評論某些內容，直接從應用程序中獲取。但顯然CSRF令牌用於所有表單提交。那麼android應用能夠抓住這個令牌嗎？如果不是，有沒有辦法讓用戶獲取它的權限？另外，如果iOS的應用程序是相同的，那麼功能的工作原理是什麼？

謝謝。

Answer 1

假設應用程序代表用戶發出登錄請求並存儲身份驗證cookie以供後續請求使用，那麼是的。

A GET請求將需要對其上的表單進行處理，CSRF標記被解析，然後POST請求將會通過所有必需的參數（包括標記）。

是的，這也可以在iOS上完成。