# C.S.R.F. Mitigation

En attendant l’abandon des *credentials* de type *cookie*, *basic auth* et certificat client, une solution de mitigation des attaques de type C.S.R.F. est de positionner un *cookie* *(non http-only)* contenant **un&#x20;*****token*****&#x20;aléatoire et imprévisible&#x20;*****(un nonce)***.

L’application client *(JavaScript)* doit alors envoyer la valeur de ce *token* dans le *header* `Authorization` *(Ex. : `Authorization: Bearer ..., Csrf: ...`)* à chaque requête.

L’API n’a plus qu’à **comparer les deux valeurs présentes dans le&#x20;*****cookie*****&#x20;et dans le&#x20;*****header*** pour s'assurer qu'il s'agit du bon token.

*En effet, dans le cas d'une attaque C.S.R.F., l'attaquant utilise les cookies sans y avoir accès en lecture ou écriture.*