From 787d03e48471ba62cd830379428f04d996f0b74b Mon Sep 17 00:00:00 2001 From: polo Date: Thu, 17 Feb 2022 18:13:00 +0100 Subject: model update --- "protection CSRF - \303\240 faire.txt" | 21 +++++++++++++++++++++ 1 file changed, 21 insertions(+) create mode 100644 "protection CSRF - \303\240 faire.txt" (limited to 'protection CSRF - à faire.txt') diff --git "a/protection CSRF - \303\240 faire.txt" "b/protection CSRF - \303\240 faire.txt" new file mode 100644 index 0000000..f5c2497 --- /dev/null +++ "b/protection CSRF - \303\240 faire.txt" @@ -0,0 +1,21 @@ +falsification de requête inter-site - CSRF + +A faire... + +ici une explication simple avec un exemple simpliste +(les GET servent à la navigation, les POST à l'action) +https://www.ibm.com/docs/fr/order-management?topic=ssgtjf-com-ibm-help-sfs-cpqsolution-doc-customization-c-wcc-crosssiterequestforgery-html + +notre site est-il concerné? le navigateur peut toujours enregistrer les identifiants (cookie ou pas), la session sur le serveur sera donc maintenue +protection: on ajoute un formulaire caché avec une valeur aléatoire cryptée utilisable une seule fois (=jeton) + +"Vous pouvez rendre chaque jeton utilisable une seule fois et ainsi éviter de rejouer plusieurs fois la même requête. +Les jetons sont stockés dans le back-office. +Une rotation des jetons est effectuée quand le nombre maximum a été atteint, les plus vieux en premier. +Chaque jeton peut être lié à une URL spécifique. +Si un jeton est intercepté, il ne peut pas être utilisé dans un autre contexte. +Si besoin, les jetons peuvent être attachés à une adresse IP spécifique. +Depuis la version v2.1, les jetons peuvent être réutilisés (par exemple pour les requêtes AJAX). +Si vous n’utilisez pas un framework qui gère la protection CSRF pour vous, jetez un oeil à Anti-CSRF." + +une bibli qui fait ça: https://github.com/paragonie/anti-csrf -- cgit v1.2.3