Token CSRF
Qu'est-ce que Token CSRF ?
Token CSRFValeur imprevisible et par session, integree aux formulaires ou en-tetes, permettant au serveur de verifier que les requetes modifiant l'etat viennent de ses propres pages.
Le token CSRF est la defense canonique contre le Cross-Site Request Forgery. Le serveur genere une valeur aleatoire, la lie a la session de l'utilisateur et l'inclut dans les formulaires HTML ou la transmet via un header custom. A chaque requete modifiant l'etat, il compare le token soumis a la valeur attendue et rejette toute discordance. Variantes: synchronizer token (etat cote serveur), double-submit cookies (stateless), HMAC OWASP. Les applications modernes combinent CSRF tokens, cookies SameSite=Lax ou Strict, headers personnalises, verification d'Origin/Referer et CORS strict. Les APIs appelees en JS avec bearer token n'exigent pas de token CSRF mais necessitent un anti-replay.
● Exemples
- 01
Champ <input type="hidden" name="csrf" value="a8f1..."> dans un formulaire.
- 02
Header X-CSRF-Token valide cote serveur contre un secret de session.
● Questions fréquentes
Qu'est-ce que Token CSRF ?
Valeur imprevisible et par session, integree aux formulaires ou en-tetes, permettant au serveur de verifier que les requetes modifiant l'etat viennent de ses propres pages. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Token CSRF ?
Valeur imprevisible et par session, integree aux formulaires ou en-tetes, permettant au serveur de verifier que les requetes modifiant l'etat viennent de ses propres pages.
Comment fonctionne Token CSRF ?
Le token CSRF est la defense canonique contre le Cross-Site Request Forgery. Le serveur genere une valeur aleatoire, la lie a la session de l'utilisateur et l'inclut dans les formulaires HTML ou la transmet via un header custom. A chaque requete modifiant l'etat, il compare le token soumis a la valeur attendue et rejette toute discordance. Variantes: synchronizer token (etat cote serveur), double-submit cookies (stateless), HMAC OWASP. Les applications modernes combinent CSRF tokens, cookies SameSite=Lax ou Strict, headers personnalises, verification d'Origin/Referer et CORS strict. Les APIs appelees en JS avec bearer token n'exigent pas de token CSRF mais necessitent un anti-replay.
Comment se défendre contre Token CSRF ?
Les défenses contre Token CSRF combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- attacks№ 239
Cross-Site Request Forgery (CSRF)
Attaque web qui force le navigateur d'un utilisateur authentifié à envoyer des requêtes non désirées vers un site vulnérable, déclenchant des actions sans son consentement.
- appsec№ 961
Cookie SameSite
Attribut de cookie qui contrôle son envoi sur les requêtes inter-sites, avec les valeurs Strict, Lax et None, utilisé principalement pour mitiger le CSRF.
- identity-access№ 1020
Token de session
Identifiant opaque emis apres l'authentification, renvoye par le client a chaque requete, permettant au serveur de retrouver l'etat de session de l'utilisateur.
- identity-access№ 1018
Gestion des sessions
Ensemble de contrôles qui émettent, maintiennent, rafraîchissent et révoquent une session authentifiée, liant l'identité de l'utilisateur aux requêtes suivantes jusqu'à la déconnexion ou l'expiration.
- appsec№ 983
Drapeau de cookie Secure
Attribut de cookie qui indique au navigateur de ne l'envoyer qu'en HTTPS, empêchant son passage en clair sur le réseau.
- appsec№ 223
CORS (Partage de ressources entre origines)
Mécanisme appliqué par le navigateur permettant à un serveur d'assouplir sélectivement la politique de même origine pour que du JavaScript d'une origine puisse lire les réponses d'une autre.