Я хотел бы добавить меры безопасности против CSFR для моего приложения для iphone, которое использует сервер в качестве серверной части, и тот же сервер также обслуживает веб-запросы. сервер написан на руби на рельсах.
для регулярных запросов я использую особый тип токена подлинности, скрытый внутри формы, который публикуется с каждым запросом с этой страницы для установления доверия.
моя проблема в том, что я не могу имитировать это поведение с iphone, так как он фактически не извлекает форму перед публикацией.
Я подумал о чем-то вроде первой отправки запроса на сервер для создания какого-то токена, а затем добавления его к запросам, но все же учитывая, что кто-то по-прежнему сохраняет токен + файл cookie аутентификации и т. Д. С iphone, обнюхивает его или что-то в этом роде. Я все еще подвергаюсь воздействию CSRF.
мысли?
