Jeton CSRF Rails dans l'application client iPhone

Question

Je prévois une application web qui est principalement exposée à travers une application cliente via une API. J'ai essayé de faire des requêtes à partir d'une application iPhone vers l'application de concept de preuve, mais je continue de recevoir des erreurs de jeton CSRF. Y a-t-il un moyen d'obtenir un jeton de l'application pour ensuite le passer en paramètre dans ma requête POST ? Je sais que je peux désactiver protect from forgery, mais je ne veux pas compromettre la sécurité en faisant cela.

Answer 1

La CSRF est une attaque qui fonctionne uniquement sur le web. Donc, si vous voulez utiliser votre application uniquement comme API, vous pouvez la désactiver sans aucun défaut de sécurité.

Answer 2

L'autre réponse n'est pas tout à fait exacte. Un attaquant pourrait créer une attaque basée sur le web qui exploite un point de terminaison ouvert conçu pour iOS et qui manque de protection contre les CSRF. Vous devez vous assurer que tout point de terminaison que vous créez est protégé d'une manière ou d'une autre contre ce type d'attaque (CSRF n'est pas le moyen recommandé de sécuriser les points de terminaison mobiles, mais vous devez vous assurer que les nouveaux points de terminaison ne sont pas vulnérables à une attaque basée sur le web).