1
ウェブサイトとモバイルアプリの両方で使用されるASP.NetにレストAPIを構築しています。そのモバイル部分が実行され、アプリケーションがハングするAuthトークンが生成され、すべてのリクエストのヘッダーとしてAPIに送信されます。モバイルアプリとウェブで使用されるAPIを保護する方法
私は現在、APIのウェブアプリケーション部分を構築しようとしています。私がAPIのセキュリティを誤った可能性があることを認識しています。自分のAPIをCSRFに脆弱にしてしまうので、認証トークンを前後に送信されるWebアプリケーションに戻すことはできないようです。モバイルからCookieを設定できないため、モバイルからのCookieのAPIチェックもできません。
このAPIを保護して、ウェブサイトとモバイルアプリの両方で安全に使用できるようにするにはどうすればよいでしょうか?
あなたの認証トークンが「承認:基本」でない限り、私はあなたがCSRFに対して脆弱だとは思わない。 [セキュリティスタック交換に関するこの記事](https://security.stackexchange.com/questions/32574/csrf-with-oauth-or-bearer-authorization-headers)を見てください。 – LB2