假设有一个网站没有提供api服务。但是,合法的Android应用程序想要提供有用的服务。首先,他们要求用户在该网站上创建一个帐户。然后,一旦用户登录,他们就能够从应用程序中执行某些功能,例如“喜欢”帖子或评论内容。但很明显,CSRF令牌用于所有表单提交。 Android应用程序是否能够获取此令牌?如果没有,有没有办法要求用户获取权限?此外,如果为iOS制作相同的应用程序,功能也会相同吗?
感谢。
答案 0 :(得分:1)
假设应用程序代表用户发出登录请求并存储身份验证cookie以供后续请求使用,那么是。
需要对其上带有表单的网页发出GET请求,解析CSRF令牌,然后发送POST请求,传递所有必需参数(包括令牌)
是的,这也可以通过iOS完成。