Създавам услуга ASP.NET Web API 2 като RESTful API за поддръжка на мобилни приложения.
Проблемът е във всички статии в мрежата за CSRF, включително:
- Предотвратяване на CSRF хакове в ASP.NET Web API
- Предотвратяване на фалшифициране на заявки между сайтове с помощта на помощника AntiForgeryToken() на ASP.NET MVC
- Предотвратяване на междусайтови заявки Фалшифициране (CSRF) атаки
Всички говорят за базирано на бисквитки анти-CSRF валидиране.
Трябва да сложа такава бисквитка в мобилното си приложение и не само това, тя трябва да е предварително заредена, за да заработи приложението веднага. Има ли начин да се въведат такива методи за защита срещу CSRF, без да се налага да задавате бисквитки? Или може би има начин за предварително зареждане на бисквитка за сигурност в мобилно приложение, така че да можем незабавно да я използваме без стъпка за настройка на бисквитка?