주로 API를 통해 클라이언트 애플리케이션을 통해 노출되는 웹 애플리케이션을 계획 중입니다. iPhone 클라이언트에서 개념 증명 응용 프로그램에 대한 일부 요청을 시도했지만 CSRF 토큰 오류가 계속 발생했습니다. 응용 프로그램에서 토큰을 가져 와서 POST 요청의 매개 변수로 전달하는 방법이 있습니까? protect from forgery
을 해제 할 수는 있지만이를 수행하여 보안을 손상시키고 싶지는 않습니다.레일 클라이언트 iPhone 애플리케이션의 CSRF 토큰
2
A
답변
2
CSRF는 공격이며, 웹에서만 작동합니다. 따라서 앱을 API로만 사용하려면 보안 허점없이 앱을 끌 수 있습니다.
0
다른 답변은 완전히 정확하지 않습니다. 공격자는 ios 용으로 설계되고 CSRF 보호 기능이없는 개방형 엔드 포인트를 악용하는 웹 기반 공격을 생성 할 수 있습니다. 생성하는 모든 엔드 포인트가 이러한 종류의 공격으로부터 어떤 방식 으로든 보호되는지 확인해야합니다 (CSRF는 모바일 엔드 포인트를 보호하기위한 권장 방법이 아니지만 새로운 엔드 포인트가 웹 기반 공격으로부터 취약하지 않은지 확인해야합니다. 공격).
관련 문제
- 1. 레일 3에서 CSRF 토큰 끄기
- 2. CSRF 토큰 - 올바르게 구현하는 방법?
- 3. CSRF 토큰 세션 재설정
- 4. 장고 CSRF 토큰
- 5. CSRF 및 변경 토큰
- 6. Django CSRF 형식이없는 토큰
- 7. Jquery와 Django CSRF 토큰
- 8. csrf 토큰 사용
- 9. 쿠키의 CSRF 토큰
- 10. CSRF 위험 및 토큰
- 11. 아약스의 CSRF 토큰
- 12. CodeIgniter의 CSRF 토큰 문제
- 13. Symfony2 FosUser : CSRF 토큰 문제
- 14. 장고 : CSRF 토큰 누락되거나 잘못된
- 15. .NET의 사용자 지정 CSRF 토큰
- 16. Django 및 iOS의 CSRF 토큰
- 17. Rails CSRF 토큰 - 만료 되나요?
- 18. csrf 토큰 : CSRF 공격이 감지되었습니다. 백엔드 용으로 만 생산
- 19. 레일, OAuth 및 CSRF 보호
- 20. 클라이언트/서버 애플리케이션의 UDP
- 21. 레일 3 애플리케이션의 파트로드
- 22. 레일 3 애플리케이션의 OSQA?
- 23. 레일 애플리케이션의 시간대 지원
- 24. @csrf_exempt 사용 및 동일한보기에서 CSRF 토큰 생성
- 25. CSRF 유효성 검사 토큰 : 세션 ID가 안전합니까?
- 26. CSRF 토큰 - 두 개의 요청 = 실패?
- 27. 테스트 할 때 수동으로 CSRF 토큰 받기
- 28. 경고 : CSRF 토큰 인증을 확인할 수 없습니다 (레일 2에서 레일 3까지)
- 29. iPhone 애플리케이션의 URL 스키마
- 30. CSRF 보호 : 요청마다 CSRF 토큰을 보내는 방법
나는 Aayush Kumar에 동의합니다. CSRF는 웹에서만 작동합니다. 즉, 웹에서 공격이 발생했음을 의미합니다. API는 iPhone 클라이언트를위한 것이지 마술로 사용자를 보호하지 않습니다. – Emirikol