2 votes

Jeton CSRF Rails dans l'application client iPhone

Je prévois une application web qui est principalement exposée à travers une application cliente via une API. J'ai essayé de faire des requêtes à partir d'une application iPhone vers l'application de concept de preuve, mais je continue de recevoir des erreurs de jeton CSRF. Y a-t-il un moyen d'obtenir un jeton de l'application pour ensuite le passer en paramètre dans ma requête POST ? Je sais que je peux désactiver protect from forgery, mais je ne veux pas compromettre la sécurité en faisant cela.

2voto

iGEL Points 2091

La CSRF est une attaque qui fonctionne uniquement sur le web. Donc, si vous voulez utiliser votre application uniquement comme API, vous pouvez la désactiver sans aucun défaut de sécurité.

0voto

Michael Economy Points 360

L'autre réponse n'est pas tout à fait exacte. Un attaquant pourrait créer une attaque basée sur le web qui exploite un point de terminaison ouvert conçu pour iOS et qui manque de protection contre les CSRF. Vous devez vous assurer que tout point de terminaison que vous créez est protégé d'une manière ou d'une autre contre ce type d'attaque (CSRF n'est pas le moyen recommandé de sécuriser les points de terminaison mobiles, mais vous devez vous assurer que les nouveaux points de terminaison ne sont pas vulnérables à une attaque basée sur le web).

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

X