サーバーをバックエンドとして使用し、同じサーバーが Web 要求も処理する iPhone アプリの CSFR に対するセキュリティ測定を追加したいと考えています。サーバーは ruby on rails で書かれています。
通常のリクエストでは、フォーム内に隠されている特別な種類の認証トークンを使用しています。このトークンは、信頼を確立するためにそのページからのすべてのリクエストとともに投稿されます。
私の問題は、投稿する前に実際にフォームをプルしないため、iphone からこの動作をシミュレートできないことです。
最初にサーバーにリクエストを送信してある種のトークンを生成し、それをリクエストに追加するという行に沿って何かを考えましたが、それでも誰かがiPhoneからトークン+認証Cookieなどを静止させ、それを盗聴します。私はまだCSRFにさらされています。
考え?