Ich habe eine bestehende Rails Backend-Website, die json Anrufe zum Server macht. Jetzt entwickle ich eine mobile iOS-App, um dasselbe Backend zu verwenden und Anrufe in JSON zu senden. Allerdings mobile Anforderungen mit versagen:sicherheits-safe csrf tokens für json rails anrufe deaktivieren?
WARNING: Can't verify CSRF token authenticity
um Stackoverflow Suchen, schlugen viele csrf Kontrollen für json Anrufe zu deaktivieren, indem Sie so etwas wie dies mit:
# Or this in your application_controller.rb
def verified_request?
if request.content_type == "application/json"
true
else
super()
end
end
Aber meine Frage ist, ich verstehe nicht, wie Verhindert dies CSRF-Angriffe im JSON-Format? Angreifer können von ihrer Site aus immer eine JSON-Anfrage an unseren Endpunkt senden. Hat jemand Einblick in das? Ich konnte darauf keine klare Antwort finden.
Dank Turm. Ja, es ist möglich, JSON-Aufrufe in csrf zu knacken. Wenn ich auf diese Seite schaue, kann ich mehr darüber erfahren, wer das lösen kann. Aber wissen Sie, wie ich die von Rails generierten CSRF-Tokens verwenden kann, damit eine mobile App sie verwenden und die Anfrage senden kann? – Anish
@Anish Sie könnten es booten, vielleicht haben Sie einen statischen Anruf, der immer das Token zurückgibt. – rook
"Sie können den Referer überprüfen, um sicherzustellen, dass er von einer Domain stammt, der Sie vertrauen." Natürlich können diese leicht gefälscht werden – SooDesuNe