有没有办法从Android应用程序发出post / put / patch / delete请求到我的rails应用程序,该应用程序用json文件响应并同时在我的服务器上激活CSRF?
所以换句话说,我希望在从我的Android应用程序发出请求时能够防止伪造,因为它可以修改webapp数据。
答案 0 :(得分:1)
我认为一个不切实际的解决方案是创建一个输出CSRF令牌的方法,并在每个post / put请求之前加载它。
我通常对处理敏感数据的API采取不同的方法 - 我绕过CSRF,我使用SSL来验证所有内容,验证证书,并且总是发布校验和(基于静态API密钥和当前用户的哈希)我在登录时输出的请求,我在处理前在服务器端验证。