我需要在发布和放置请求时保护我的API for CSRF。为了做到这一点,我认为移动设备(例如iOS)需要向API服务器(node.js)发送令牌。该令牌必须经过加密并包含将在服务器端进行解密的JSON
数据。使用IOS上的密钥对json数据进行加密并使用节点j对其进行解密
要解密数据,移动设备使用服务器知道的相同密钥。
例如:{_csrf: 123456789}
将从通过移动设备发送的令牌中解密,如果匹配,则由API检查。
这是正确的方法吗?如果不是什么是正确的方式?
如何在iOS上加密Jon数据并在node.js上对其解密? (JWT令牌没有库iOS设备)
你能为我提供一个示例代码进行加密在iOS等数据解密上的node.js?
这不会保护CSRF。这根本不安全。使用CSRF,浏览器本身就是问题所在。你仍然必须防止CSRF。 –
由于没有浏览器,因此没有潜在的CSRF攻击。 – zaph
“我需要为CSRF保护我的API,并发布请求。” “只需使用https ...”是的,这是不安全的部分。 HTTPS不能防止CSRF。对不起,如果我有点强大。 @zaph –