diff options
Diffstat (limited to 'protection CSRF - à faire.txt')
| -rw-r--r-- | protection CSRF - à faire.txt | 21 |
1 files changed, 21 insertions, 0 deletions
diff --git a/protection CSRF - à faire.txt b/protection CSRF - à faire.txt new file mode 100644 index 0000000..f5c2497 --- /dev/null +++ b/protection CSRF - à faire.txt | |||
| @@ -0,0 +1,21 @@ | |||
| 1 | falsification de requête inter-site - CSRF | ||
| 2 | |||
| 3 | A faire... | ||
| 4 | |||
| 5 | ici une explication simple avec un exemple simpliste | ||
| 6 | (les GET servent à la navigation, les POST à l'action) | ||
| 7 | https://www.ibm.com/docs/fr/order-management?topic=ssgtjf-com-ibm-help-sfs-cpqsolution-doc-customization-c-wcc-crosssiterequestforgery-html | ||
| 8 | |||
| 9 | notre site est-il concerné? le navigateur peut toujours enregistrer les identifiants (cookie ou pas), la session sur le serveur sera donc maintenue | ||
| 10 | protection: on ajoute un formulaire caché avec une valeur aléatoire cryptée utilisable une seule fois (=jeton) | ||
| 11 | |||
| 12 | "Vous pouvez rendre chaque jeton utilisable une seule fois et ainsi éviter de rejouer plusieurs fois la même requête. | ||
| 13 | Les jetons sont stockés dans le back-office. | ||
| 14 | Une rotation des jetons est effectuée quand le nombre maximum a été atteint, les plus vieux en premier. | ||
| 15 | Chaque jeton peut être lié à une URL spécifique. | ||
| 16 | Si un jeton est intercepté, il ne peut pas être utilisé dans un autre contexte. | ||
| 17 | Si besoin, les jetons peuvent être attachés à une adresse IP spécifique. | ||
| 18 | Depuis la version v2.1, les jetons peuvent être réutilisés (par exemple pour les requêtes AJAX). | ||
| 19 | Si vous n’utilisez pas un framework qui gère la protection CSRF pour vous, jetez un oeil à Anti-CSRF." | ||
| 20 | |||
| 21 | une bibli qui fait ça: https://github.com/paragonie/anti-csrf | ||