Token CSRF
Qu'est-ce que Token CSRF ?
Token CSRFValeur imprevisible et par session, integree aux formulaires ou en-tetes, permettant au serveur de verifier que les requetes modifiant l'etat viennent de ses propres pages.
Le token CSRF est la defense canonique contre le Cross-Site Request Forgery. Le serveur genere une valeur aleatoire, la lie a la session de l'utilisateur et l'inclut dans les formulaires HTML ou la transmet via un header custom. A chaque requete modifiant l'etat, il compare le token soumis a la valeur attendue et rejette toute discordance. Variantes: synchronizer token (etat cote serveur), double-submit cookies (stateless), HMAC OWASP. Les applications modernes combinent CSRF tokens, cookies SameSite=Lax ou Strict, headers personnalises, verification d'Origin/Referer et CORS strict. Les APIs appelees en JS avec bearer token n'exigent pas de token CSRF mais necessitent un anti-replay.
● Exemples
- 01
Champ <input type="hidden" name="csrf" value="a8f1..."> dans un formulaire.
- 02
Header X-CSRF-Token valide cote serveur contre un secret de session.
● Questions fréquentes
Qu'est-ce que Token CSRF ?
Valeur imprevisible et par session, integree aux formulaires ou en-tetes, permettant au serveur de verifier que les requetes modifiant l'etat viennent de ses propres pages. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Token CSRF ?
Valeur imprevisible et par session, integree aux formulaires ou en-tetes, permettant au serveur de verifier que les requetes modifiant l'etat viennent de ses propres pages.
Comment se défendre contre Token CSRF ?
Les défenses contre Token CSRF combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.