我正在使用php/symfony2开发RESTful API.
Symfony2带有开箱即用的CSRF保护,它在使用普通表单数据时工作正常(它将CSRF令牌传递给表单,当发回时它需要嵌入表单中的相同令牌).
尽管如此,如果您开发RESTful API,此解决方案不适用于此目的,其中后端< - >前端之间的通信纯粹基于JSON.因此我禁用了CSRF.
我知道没有CSRF令牌是不安全的,所以我想知道什么是使用RESTful API获得CSRF的最佳方式.
一个想法是拥有特定的URL,例如/ api/generate/csrf,可以通过前端调用然后将令牌附加到json请求.它听起来不是最安全的方式,因为技术上可以由任何人生成令牌.
在开发RESTful API时,解决CSRF问题的最佳方法是什么?
干杯,理查德