Le Guide API ReST | Marmicode
Le Guide API ReST | Marmicode
đŸ‘šđŸ»â€đŸł Marmicode.fr
đŸ‘šđŸ»â€đŸ’» Consulting & Code Review
✉ Help!
Le Guide API ReST par Marmicode
API ReST
Conventions & Bonnes Pratiques
Les Outils
Sécurité des APIs ReST
OWASP Top 10
Authentification et Session Management
Autorisation et Gestion des Permissions
Validation, Canonicalization, Escaping & Sanitization
Cookies are EVIL
C.O.R.S.
C.S.R.F.
C.S.R.F. & Media Type
C.S.R.F. Mitigation
C.S.R.F. & "Resource Linking"
J.O.S.E.
J.W.T.
OAuth 2
OpenID Connect
Autres Spécifications
Quelques Liens & Ressources
Stay Tuned
📝Blog
🐩Twitter
📬Newsletter
Propulsé par GitBook

C.S.R.F. Mitigation

En attendant l’abandon des credentials de type cookie, basic auth et certificat client, une solution de mitigation des attaques de type C.S.R.F. est de positionner un cookie (non http-only) contenant un token alĂ©atoire et imprĂ©visible (un nonce).

L’application client (JavaScript) doit alors envoyer la valeur de ce token dans le header Authorization (Ex. : Authorization: Bearer ..., Csrf: ...) Ă  chaque requĂȘte.

L’API n’a plus qu’à comparer les deux valeurs prĂ©sentes dans le cookie et dans le header pour s'assurer qu'il s'agit du bon token.

En effet, dans le cas d'une attaque C.S.R.F., l'attaquant utilise les cookies sans y avoir accĂšs en lecture ou Ă©criture.

Précédent
C.S.R.F. & Media Type
Suivant
C.S.R.F. & "Resource Linking"
DerniĂšre mise Ă  jour 2 years ago