En attendant lâabandon des credentials de type cookie, basic auth et certificat client, une solution de mitigation des attaques de type C.S.R.F. est de positionner un cookie (non http-only) contenant un token alĂ©atoire et imprĂ©visible (un nonce).
Lâapplication client (JavaScript) doit alors envoyer la valeur de ce token dans le header Authorization
(Ex. : Authorization: Bearer ..., Csrf: ...
) Ă chaque requĂȘte.
LâAPI nâa plus quâĂ comparer les deux valeurs prĂ©sentes dans le cookie et dans le header pour s'assurer qu'il s'agit du bon token.
En effet, dans le cas d'une attaque C.S.R.F., l'attaquant utilise les cookies sans y avoir accÚs en lecture ou écriture.