Que veut dire CSRF?
Cross-Site Request Forgery
C’est quoi une attaque CSRF?
Une attaque qui force un utilisateur authentifié à exécuter une action à son insu, car le navigateur envoie automatiquement ses cookies avec la requête.
Quel mécanisme est exploité par le CSRF?
Les cookies envoyés automatiquement par le navigateur aux sites visités.
Quelles sont 3 manières de se protéger contre le CSRF?
- Cookie SameSite=Strict
- Anti-CSRF Token
- Validations supplémentaires côté serveur
Quel est le principe du CSRF Token?
Chaque requête sensible doit inclure un secret connu seulement du client et du serveur.
À quoi sert l’attribut SameSite d’un cookie?
À empêcher l’envoi du cookie lors de requêtes provenant de sites externes.
Que fait SameSite=Strict?
Les cookies ne sont jamais envoyés depuis un site tiers, protection maximale.
Que fait SameSite=Lax?
Les cookies sont envoyés seulement pour les requêtes GET cross-site.
Que fait SameSite=None?
- Cookies toujours envoyés cross-site, aucune protection CSRF
- Doit obligatoirement être accompagné de Secure=true (HTTPS).
Pourquoi SameSite=None sans Secure est refusé?
Car les navigateurs modernes bloquent les cookies non sécurisés utilisés cross-site.
Pourquoi le CSRF était facile avant 2020?
Parce que les cookies n’avaient pas de protection SameSite par défaut.
Pourquoi les tokens CSRF restent nécessaires même avec SameSite=Lax?
- La défense en profondeur
- La compatibilité navigateurs
- Les requêtes POST ou non-GET
Pourquoi SameSite=Lax laisse encore une faille?
- Les requête GET cross-site transmettent encore les cookies
C’est quoi un CSRF Token?
Un code secret unique par utilisateur qui doit être envoyé avec chaque requête sensible.
Quels sont les 2 types de stratégies de CSRF Toekn?
- token par session (invalide après chaque action)
- Token par requête (nouveau token pour chaque appareil)
Où insère-t-on un CSRF Token?
- HTML: champs cachés
<input type="hidden"> - API: header X-CSRF-TOKEN
À quoi sert un CSRF Token côté serveur?
À vérifier que la requête provient réellement de l’application légitime et pas d’un site tiers.
