2. 질의 응답
  3. 레일 클라이언트 iPhone 애플리케이션의 CSRF 토큰

레일 클라이언트 iPhone 애플리케이션의 CSRF 토큰

2012-01-08 4 views
2

주로 API를 통해 클라이언트 애플리케이션을 통해 노출되는 웹 애플리케이션을 계획 중입니다. iPhone 클라이언트에서 개념 증명 응용 프로그램에 대한 일부 요청을 시도했지만 CSRF 토큰 오류가 계속 발생했습니다. 응용 프로그램에서 토큰을 가져 와서 POST 요청의 매개 변수로 전달하는 방법이 있습니까? protect from forgery을 해제 할 수는 있지만이를 수행하여 보안을 손상시키고 싶지는 않습니다.레일 클라이언트 iPhone 애플리케이션의 CSRF 토큰

출처

2012-01-08 Jack

답변

2

CSRF는 공격이며, 웹에서만 작동합니다. 따라서 앱을 API로만 사용하려면 보안 허점없이 앱을 끌 수 있습니다.

출처

2012-01-09 03:24:26 iGEL

+1

나는 Aayush Kumar에 동의합니다. CSRF는 웹에서만 작동합니다. 즉, 웹에서 공격이 발생했음을 의미합니다. API는 iPhone 클라이언트를위한 것이지 마술로 사용자를 보호하지 않습니다. – Emirikol

0

다른 답변은 완전히 정확하지 않습니다. 공격자는 ios 용으로 설계되고 CSRF 보호 기능이없는 개방형 엔드 포인트를 악용하는 웹 기반 공격을 생성 할 수 있습니다. 생성하는 모든 엔드 포인트가 이러한 종류의 공격으로부터 어떤 방식 으로든 보호되는지 확인해야합니다 (CSRF는 모바일 엔드 포인트를 보호하기위한 권장 방법이 아니지만 새로운 엔드 포인트가 웹 기반 공격으로부터 취약하지 않은지 확인해야합니다. 공격).

출처

2017-12-15 01:14:27

관련 문제

 관련 문제