Sto provando a far comunicare un'applicazione iOS con un sito web di Ruby on Rails utilizzando JSON. Durante il tentativo di pubblicare un login per creare una sessione utente, ho scoperto che mi mancava un token CSRF. Non avevo idea di cosa fosse, quindi ho iniziato a esaminarlo e ho trovato alcune soluzioni che dicevano di rimuovere la protezione CSRF se il formato della chiamata è "application / json". Ma sembra che questo lasci il sito vulnerabile?
Sono emersi alcuni risultati relativi ai moduli JS aventi lo stesso problema. Le risposte dovevano essere aggiunte nel token CSRF. Che all'atto dell'ispezione, appare anche nel tag meta contenuto nelle intestazioni di pagina.
Quindi questo mi lascia in confusione, ecco le mie domande:
- In che modo il token protegge qualcosa se può essere letto in una chiamata precedente alla chiamata in attacco? Un sito dannoso può non effettuare semplicemente una richiesta, analizzare il messaggio ricevuto e inviare un'altra richiesta con il token?
- Sarebbe sicuro disabilitare il token-check sull'azione di login post e fargli rimandare il token insieme alla risposta di successo? Se no, qualche suggerimento migliore?