J'ai une application Rails 3 configurée avec l'enregistrement de l'utilisateur à l'aide d'un produit fonctionnant sur un serveur. Je permets aux gens de se connecter au serveur via le site Web et permet également aux gens de créer des comptes et de se connecter à l'aide d'une application Iphone.Comment autoriser a) HTTP auth sans jeton CSRF + SSL ou b) exiger un jeton CSRF avec legs?
Lorsque les gens utilisent l'application Iphone, je voudrais soutenir ces deux actions:
a) Inscription compte sans CSRF (cette cause ne les questions de sécurité)?
b) une session avec http auth sécurisée par SSL
c) les requêtes POST au serveur après connexion à être fixé par http auth avec SSL. Lorsque l'utilisateur est sur le site Web, je veux exiger des jetons CSRF sur toutes les actions (afin que l'utilisateur ne tape pas le nom d'utilisateur et le mot de passe à chaque fois).
Nous vous remercions de votre aide.
Les jetons CSRF n'ont rien à voir avec la saisie d'un nom d'utilisateur et d'un mot de passe. Ils s'assurent juste que vous ne pouvez pas exécuter une attaque de requête inter-site contre un utilisateur connecté (par exemple, avec un survol Javascript spécialement conçu ou une image intégrée). Ils s'assurent juste que lorsqu'un formulaire est posté, le formulaire a été créé par l'utilisateur sur votre site. –