model update

1 files changed, 21 insertions, 0 deletions

diff --git a/protection CSRF - à faire.txt b/protection CSRF - à faire.txt
new file mode 100644
index 0000000..f5c2497
--- /dev/null
+++ b/protection CSRF - à faire.txt
@@ -0,0 +1,21 @@
+falsification de requête inter-site - CSRF
+
+A faire...
+
+ici une explication simple avec un exemple simpliste
+(les GET servent à la navigation, les POST à l'action)
+https://www.ibm.com/docs/fr/order-management?topic=ssgtjf-com-ibm-help-sfs-cpqsolution-doc-customization-c-wcc-crosssiterequestforgery-html
+
+notre site est-il concerné? le navigateur peut toujours enregistrer les identifiants (cookie ou pas), la session sur le serveur sera donc maintenue
+protection: on ajoute un formulaire caché avec une valeur aléatoire cryptée utilisable une seule fois (=jeton)
+
+"Vous pouvez rendre chaque jeton utilisable une seule fois et ainsi éviter de rejouer plusieurs fois la même requête.
+Les jetons sont stockés dans le back-office.
+Une rotation des jetons est effectuée quand le nombre maximum a été atteint, les plus vieux en premier.
+Chaque jeton peut être lié à une URL spécifique.
+Si un jeton est intercepté, il ne peut pas être utilisé dans un autre contexte.
+Si besoin, les jetons peuvent être attachés à une adresse IP spécifique.
+Depuis la version v2.1, les jetons peuvent être réutilisés (par exemple pour les requêtes AJAX).
+Si vous n’utilisez pas un framework qui gère la protection CSRF pour vous, jetez un oeil à Anti-CSRF."
+
+une bibli qui fait ça: https://github.com/paragonie/anti-csrf