Ruby on rails 绕过iOS应用程序的CSFR令牌
我正在为RoR api开发一个iOS应用程序(是我的同事开发的)。我正在尝试开发登录部分,但在POSTMan中测试api时,我注意到它需要CSRF令牌。有没有办法绕过api调用来获取CSRFRuby on rails 绕过iOS应用程序的CSFR令牌,ruby-on-rails,afnetworking,Ruby On Rails,Afnetworking,我正在为RoR api开发一个iOS应用程序(是我的同事开发的)。我正在尝试开发登录部分,但在POSTMan中测试api时,我注意到它需要CSRF令牌。有没有办法绕过api调用来获取CSRF 旁注:我正在使用AFNetworking 2.0,最简单的修复方法是将服务器端更改为不验证CSRF令牌。下面是一个为API使用不同控制器的示例 class Api::BaseController < ApplicationController skip_before_filter :verify_
旁注:我正在使用AFNetworking 2.0,最简单的修复方法是将服务器端更改为不验证CSRF令牌。下面是一个为API使用不同控制器的示例
class Api::BaseController < ApplicationController
skip_before_filter :verify_authenticity_token
end
您可以做以下几件事:
authenticity\u token
参数作为正确的CSRF token提交POST表单。您可以使用rails助手form\u Authentity\u token
将原始标记嵌入视图中的任何位置,也可以从注册表单的隐藏标记中获取原始标记。(这是我最喜欢的选择)祝你好运 不要这样做!它会从您的站点中删除CSRF保护。我还不太擅长RoR,但这似乎是一个坏主意。我开始搜索有关CSRF和API的其他响应,我发现了这个线程——这不也适用于这里吗@Waynlue说得对。我将与后端开发人员讨论最佳实践。@TarynEast这个答案有意义吗?我想你是因为这个原因投了反对票,但我觉得对于API来说,我所说的原因是不同的。如果您不同意,请告诉我。:)看起来这个问题和你的问题很相似(我没有深入研究)。有帮助吗?
CSRF attacks rely on cookies being implicitly sent with all requests to a particular domain. If your API endpoints do not allow cookie-based authentication, you should be good.