我正在计划一个主要通过API通过客户端应用程序公开的Web应用程序。我试图从iPhone客户端向概念验证应用程序发出一些请求,但不断收到CSRF令牌错误。有没有办法从应用程序获取令牌然后作为参数传递给我的POST请求?我知道我可以关闭protect from forgery
,但不想通过这样做来破坏安全性。
答案 0 :(得分:2)
CSRF是一种攻击,仅适用于网络。因此,如果您只想将应用程序用作API,则可以将其关闭而不会出现任何安全漏洞。
答案 1 :(得分:0)
另一个答案并非完全准确。攻击者可以创建基于Web的攻击,利用专为ios设计的开放端点并且缺乏CSRF保护。您需要确保您创建的任何端点都受到这种攻击的某种保护(CSRF不是保护移动端点的安全方法,但您确实需要确保新端点不受基于Web的攻击攻击)。