【发布时间】:2012-03-15 20:20:23
【问题描述】:
我正在 Rails 上构建一个应用程序,我的 application.rb 中有 protect_from_forgery。我还为移动应用构建了一个 RESTful API,以便使用 JSON 数据进行通信。我看到一些网站声称为了让移动应用程序与 rails 应用程序交互,他们关闭了 JSON 请求的protect_from_forgery。
这如何解决 CSRF 的问题?恶意网站能否没有代表用户执行不良更改的 JSON POST 请求?
所以,为了解决这个问题,我决定使用自定义的mime-type 或者可能只有移动应用程序会使用的special key,然后让protect_from_forgery 执行以下操作:
- 检查 csrf 令牌是否以
hidden div的形式出现(对于 Web 应用程序为 true,默认情况下包含)。 - 如果不存在,请检查此
special key或mime-type。
有没有办法实现这个或类似的方法来解决这个问题?
更新
原来是我想多了这个问题。 Rails 是“神奇的”,它以某种方式自动、适当地处理来自移动应用程序的请求,而不会引发异常。所以,基本上我们根本不需要做任何修改。
不过,我并没有完全检查 Rails 是如何实现这一点的 - 从教学法上讲,这对某些人来说可能仍然很有趣。
【问题讨论】:
-
移动应用的请求是如何产生的?
标签: android ios ruby-on-rails-3 csrf protect-from-forgery