Comment on page
Cookies are EVIL

Cookies are Evil!
Les cookies nous exposent à des vulnérabilités de type C.S.R.F. (Cross Site Request Forgery) que nous aborderons plus tard.
Les clients ne sont pas toujours des "browsers" (Mobile, Desktop, un micro-service, un partenaire).
Les cookies seront envoyés à chaque requête.
Il y a un couplage fort entre le cookie et la session. En revanche, en utilisant le header
Authorization
nous pouvons envoyer des requêtes avec des tokens différents à la même API.
Exemple : une session avec plusieurs comptes utilisateurs sans établir aucun lien entre les utilisateurs. C’est le cas sur les services google / twitter / facebook etc… ou encore la fonctionnalité "voir ma page facebook en tant que X".Dernière mise à jour 4yr ago