我在计划一个主要通过客户端应用程序通过API公开的Web应用程序。我试图从iPhone客户端向概念验证应用程序发出一些请求,但不断收到CSRF令牌错误。有没有办法从应用程序获取令牌,然后作为POST请求中的参数传递?我知道我可以关闭protect from forgery
,但不想通过这样做来危及安全。客户端iPhone应用程序中的Rails CSRF令牌
2
A
回答
2
CSRF是一种攻击,只能在Web上运行。因此,如果您只想将您的应用程序用作API,则可以关闭它,而不会有任何安全缺陷。
0
其他答案并不完全准确。攻击者可能会创建一个基于Web的攻击,该攻击利用为ios设计的开放式端点,并且缺少CSRF保护。您需要确保您创建的任何端点在某种程度上受到这种攻击的保护(CSRF不是保护移动端点的推荐方式,但您一定需要确保新的端点不受基于Web的攻击攻击)。
相关问题
- 1. 如何在rails应用程序之间传递CSRF令牌
- 2. 找不到客户端令牌,请设置客户端令牌
- 3. 从服务器到AngularJS客户端的CSRF令牌交换
- 4. Rails的Angular 2 CSRF令牌
- 5. Ruby on rails服务器应用程序+ IOS iPhone客户端?
- 6. rails csrf令牌生存期
- 7. 在Ruby on Rails应用程序中使用客户端SSL
- 8. CSRF令牌在负载均衡symfony2应用程序中无效
- 9. oAuth,一个客户端一个令牌?或一个客户端多个令牌?
- 10. ASP.Net中的客户端应用程序
- 11. iPhone应用程序中的聊天客户端
- 12. 在rails 3中关闭CSRF令牌
- 13. Rails应用程序中的电子邮件客户端
- 14. 如何将JSON Web令牌传输到客户端应用程序?
- 15. CSRF令牌生成
- 16. 更新客户端应用程序
- 17. 如何从iPhone应用程序中删除客户端证书?
- 18. 带Webpack的Rails 5.1:访问CSRF令牌
- 19. CSRF不匹配令牌
- 20. 响应路由器中的csrf令牌
- 21. 笨,CSRF令牌
- 22. 客户端应用程序服务 - 来自WPF客户端的身份验证
- 23. 如何在使用同步器令牌模式时将CSRF令牌发送给客户端?
- 24. 客户端响应应用程序.Json
- 25. Django的CSRF令牌
- 26. 不记名令牌和CSRF
- 27. 通过AppStore发布iPhone应用程序的客户端
- 28. EJB远程应用程序 - 客户端
- 29. SQL Server客户端应用程序
- 30. PHP中的Laravel csrf令牌
我同意Aayush Kumar。 CSRF只适用于网络,这意味着攻击源于网络,API是为iPhone客户端提供的,不会奇迹般地保护您免受攻击。 – Emirikol 2012-10-11 12:25:21