Mam istniejącą witrynę backendu Rails, która wywołuje json na serwerze. Teraz tworzę mobilną aplikację na iOS, aby korzystać z tego samego zaplecza i wysyłać połączenia w jsonie. Jednak wnioski komórkowych niepowodzeniem z:bezpieczeństwo bezpieczne, aby wyłączyć tokeny csrf dla wywołań Json Rails?
WARNING: Can't verify CSRF token authenticity
wyszukiwanie wokół stackoverflow, wiele sugeruje, aby wyłączyć kontrole CSRF dla połączeń json używając coś takiego:
# Or this in your application_controller.rb
def verified_request?
if request.content_type == "application/json"
true
else
super()
end
end
Ale moje pytanie jest, ja nie rozumiem, w jaki sposób czy to zapobiega atakom csrf w formacie json? Osoba atakująca może zawsze wysłać żądanie json do naszego punktu końcowego z ich strony. Ktoś ma wgląd w to? Nie mogłem znaleźć żadnej jasnej odpowiedzi na to pytanie.
Dzięki Rook. Tak, możliwe jest złamanie połączeń json w csrf. Patrzenie na tę stronę daje mi więcej wglądu w to, kogo możemy rozwiązać. Ale czy wiesz, jak mogę wykorzystać tokeny CSRF generowane przez Railsy, aby aplikacja mobilna mogła z nich korzystać i wysłać żądanie? – Anish
@Anish Mógłbyś go załadować, być może mieć statyczne wywołanie, które zawsze zwraca token. – rook
"możesz sprawdzić odnośnik, aby upewnić się, że pochodzi z domeny, której ufasz." Oczywiście można je łatwo sfałszować – SooDesuNe