C.S.R.F. Mitigation

En attendant l’abandon des credentials de type cookie, basic auth et certificat client, une solution de mitigation des attaques de type C.S.R.F. est de positionner un cookie (non http-only) contenant un token alĂ©atoire et imprĂ©visible (un nonce).

L’application client (JavaScript) doit alors envoyer la valeur de ce token dans le header Authorization (Ex. : Authorization: Bearer ..., Csrf: ...) Ă  chaque requĂȘte.

L’API n’a plus qu’à comparer les deux valeurs prĂ©sentes dans le cookie et dans le header pour s'assurer qu'il s'agit du bon token.

En effet, dans le cas d'une attaque C.S.R.F., l'attaquant utilise les cookies sans y avoir accÚs en lecture ou écriture.