9
CSRF에서 보호되는 ASP.NET 웹 API를 사용하여 API를 만들 수있는 방법을 이해하고 있지만 웹 이외의 환경 (예 : 기본 모바일 응용 프로그램)에서는 액세스 할 수 있습니다.ValidateAntiForgeryToken은 웹 또는 기본 응용 프로그램을 통해 액세스 할 수있는 웹 API에 어떻게 맞습니까?
첫 번째 생각은 게시 된 양식이 없기 때문에 비 웹 환경이 위조 방지 토큰 유효성 검사를 통과 할 수 없다는 것입니다. 사실입니까? 유효성 검사 작업을 수행 할 수있는 방법이 있습니까?
유효성을 검사 할 방법이없는 경우 제 2의 생각은 웹 호출에 대해 위조 토큰을 검증하는 API를 제공하는 것이지만 웹 호출이 아닌 것에 대해서는 검증하지 않는 것입니다. 그러나 공격자가 CRSF 공격에이 "비 웹"API를 쉽게 사용할 수있는 것처럼 보입니다. 맞습니까?
비 웹 API가 비 웹 인증 메커니즘 (OAuth?) 만 지원하면 브라우저를 통해 요청을 재생할 수 없다는 대답입니까? 아니면 더 간단한 방법이 있습니까?
이것이 유일한 방법 인 경우 모든 안전하지 않은 인증 메커니즘을 끄는 쉬운 방법이 있습니까? 이 시나리오를 지원하기 위해 ASP.NET 웹 API에 다소 간단한/행복한 경로가 있어야하지 않습니까?
까지 "X-Requested-With"헤더는 jquery와 같은 프레임 워크만으로 요청에 넣지 않습니다. – danatcofo