1 files changed, 1 insertions, 1 deletions
diff --git a/index.php b/index.php
index 81d5faf..2d3bcd6 100644
--- a/index.php
+++ b/index.php
@@ -51,7 +51,7 @@ installation();
 // à propos des sessions, penser aux attaques CSRF (cross-site request forgery):
 // ça consite à faire qu'un utilisateur connecté avec une session envoie malgré lui une requête GET ou POST qu'un hacker aura cachée par exemple dans une fausse image clicable
-// - solutionq: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST nécessite d'injecter du javascript
+// - solution: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST nécessite d'injecter du javascript
 // - on peut demander à l'utilisateur une vérification supplémentaire avant chaque action, mais c'est plutôt chiant
 // - la méthode des jetons, "nonces" et horodatage
 // - vérifier le "référent", c'est à dire l'URL de la page d'où vient normallement la requête

diff --git a/index.php b/index.php index 81d5faf..2d3bcd6 100644 --- a/index.php +++ b/index.php
@@ -51,7 +51,7 @@ installation();
51		51
52	// à propos des sessions, penser aux attaques CSRF (cross-site request forgery):	52	// à propos des sessions, penser aux attaques CSRF (cross-site request forgery):
53	// ça consite à faire qu'un utilisateur connecté avec une session envoie malgré lui une requête GET ou POST qu'un hacker aura cachée par exemple dans une fausse image clicable	53	// ça consite à faire qu'un utilisateur connecté avec une session envoie malgré lui une requête GET ou POST qu'un hacker aura cachée par exemple dans une fausse image clicable
54	// - solutionq: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST nécessite d'injecter du javascript	54	// - solution: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST nécessite d'injecter du javascript
55	// - on peut demander à l'utilisateur une vérification supplémentaire avant chaque action, mais c'est plutôt chiant	55	// - on peut demander à l'utilisateur une vérification supplémentaire avant chaque action, mais c'est plutôt chiant
56	// - la méthode des jetons, "nonces" et horodatage	56	// - la méthode des jetons, "nonces" et horodatage
57	// - vérifier le "référent", c'est à dire l'URL de la page d'où vient normallement la requête	57	// - vérifier le "référent", c'est à dire l'URL de la page d'où vient normallement la requête