我想为我的iphone应用程序添加针对CSFR的安全措施,该应用程序使用服务器作为后端,同一服务器也提供Web请求。服务器是用ruby写在rails上的。
对于常规请求我使用隐藏在表单中的特殊类型的真实性令牌,该令牌随该页面的每个请求一起发布以建立信任。
我的问题是我无法在iphone中模拟这种行为,因为它实际上并没有在发布之前提取表单。
我想到了第一个向服务器发送请求以生成某种令牌然后将其添加到请求中的内容,但仍然向某人提供了来自iphone的令牌+身份验证cookie等,嗅出它或者一些东西。我仍然接触过CSRF。
想法?