RailsクライアントのiPhoneアプリケーションのCSRFトークン

Question

私は、主にクライアントアプリケーションからAPIを介して公開されているWebアプリケーションを計画しています。私は、iPhoneクライアントから概念証明アプリケーションへのリクエストをいくつか作成しようとしましたが、CSRFトークンエラーが発生し続けています。アプリケーションからのトークンをPOSTリクエストのパラメータとして渡す方法はありますか？私はprotect from forgeryをオフにすることができますが、これを行うことでセキュリティを妥協したくはありません。

Answer 1

CSRFは攻撃であり、Web上でのみ動作します。したがって、APIとしてのみアプリを使用したい場合は、セキュリティ上の欠陥なしでアプリをオフにすることができます。

Answer 2

他の回答は完全に正確ではありません。攻撃者は、ios向けに設計されたオープンエンドポイントを悪用し、CSRF保護機能が不足しているWebベースの攻撃を作成する可能性があります。この種の攻撃から何らかの方法で保護されていることを確認する必要があります（CSRFはモバイルエンドポイントを保護するための推奨方法ではありませんが、新しいエンドポイントがWebベースのものでないことを確認する必要があります攻撃）。