我想为我的 iphone 应用程序添加针对 CSFR 的安全测量,该应用程序使用服务器作为后端,并且同一台服务器还提供 Web 请求。服务器是用 ruby on rails 编写的。
对于常规请求,我使用隐藏在表单中的特殊类型的真实性令牌,该令牌与来自该页面的每个请求一起发布以建立信任。
我的问题是我无法从 iphone 模拟这种行为,因为它在发布之前实际上并没有拉出表单。
我已经想到了首先向服务器发送请求以生成某种令牌然后将其添加到请求中的方法,但仍然有人从 iphone 中提取令牌 + 身份验证 cookie 等,将其嗅出或其他东西。我仍然接触到 CSRF。
想法?