Rails CSRF Token в клиентском приложении iPhone

Question

Я планирую веб-приложение, которое открывается главным образом через клиентское приложение через API.Я пытался сделать несколько запросов от клиента iPhone к приложению для проверки концепции, но продолжаю получать ошибки токена CSRF.Есть ли способ получить токен из приложения для передачи в качестве параметра в моем запросе POST?Я знаю, что могу отключить protect from forgery, но при этом не хочу ставить под угрозу безопасность.

Answer 1

CSRF - это атака, которая работает только в сети. Поэтому, если вы хотите использовать свое приложение только в качестве API, вы можете отключить его без каких-либо недостатков безопасности.

Answer 2

Другой ответ не совсем точен.Злоумышленник может создать веб-атаку, которая использует открытую конечную точку, которая была разработана для ios и не имеет защиты от CSRF.Вы должны убедиться, что любая создаваемая вами конечная точка каким-либо образом защищена от такого рода атак (CSRF не является рекомендуемым способом защиты мобильных конечных точек, но вам, безусловно, нужно убедиться, что новые конечные точки не уязвимы с помощью веб-интерфейса.атака).