Qu'est-ce que le CSRF et comment le prévenir ?

Question

Accepted Answer

**CSRF (Cross-Site Request Forgery)** trompe le navigateur d'un utilisateur connecté pour effectuer des **requêtes non désirées** vers un site où il est authentifié — en effectuant des actions (transferts, changements) sans son consentement, en exploitant l'envoi automatique des identifiants/cookies par le navigateur. ## Comment fonctionne le CSRF ```text The attack exploits that browsers AUTO-SEND cookies (incl. session cookies) with requests: 1. a user is LOGGED IN to a site (has a session cookie) 2. the user visits a MALICIOUS page (or clicks a crafted link) 3. that page makes a request to the target site (e.g. a hidden form auto-submitting) 4. the browser AUTOMATICALLY includes the user's session cookie → the site thinks it's a legitimate request from the user → performs the action (transfer money, change email) → the user unknowingly performs an action they didn't intend. ``` ```html ``` ## Prévention ```text ✓ CSRF TOKENS → a unique, unpredictable token per session/form that the server verifies; the attacker's site can't know it → the forged request fails (the primary defense) ✓ SameSite COOKIES → SameSite=Lax/Strict → cookies NOT sent on cross-site requests → blocks CSRF (now a strong, default-ish browser defense) ✓ Check Origin/Referer headers; require re-authentication for sensitive actions ✓ Don't use GET for state-changing actions (use POST/PUT/DELETE properly) → Frameworks often provide CSRF protection built in — enable/use it. ``` ## Pourquoi c'est important Comprendre le CSRF et comment le prévenir est précieux car c'est une **vulnérabilité web courante** qui exploite le fonctionnement des navigateurs, permettant aux attaquants d'effectuer des actions en tant qu'utilisateurs authentifiés, c'est donc une connaissance de sécurité importante pour les développeurs web. Comprendre **comment fonctionne le CSRF** — exploiter le fait que les navigateurs **envoient automatiquement les cookies** (y compris les cookies de session) avec les requêtes, de sorte qu'une page malveillante peut déclencher une requête vers un site où l'utilisateur est connecté, et le navigateur inclut le cookie de session, ce qui fait que le site traite la requête forgée comme légitime et effectue l'action (transferts, changements de compte) sans le consentement de l'utilisateur — est nécessaire pour comprendre cette attaque subtile mais dangereuse. Le CSRF est dangereux car il peut effectuer des actions sensibles en tant que victime sans sa connaissance, et c'est une vulnérabilité web courante. Comprendre la **prévention** est essentiel : les **jetons CSRF** (un jeton unique et imprévisible par session/formulaire que le serveur vérifie — le site de l'attaquant ne peut pas le connaître, donc les requêtes forgées échouent ; la défense traditionnelle principale), les **cookies SameSite** (définir SameSite=Lax/Strict pour que les cookies ne soient pas envoyés sur les requêtes inter-sites, une défense au niveau du navigateur maintenant robuste et de plus en plus par défaut), vérifier les en-têtes Origin/Referer, exiger une réauthentification pour les actions sensibles, et ne pas utiliser GET pour les opérations changeant d'état. Comprendre que les **frameworks fournissent souvent une protection CSRF intégrée** (qui doit être activée et utilisée) est important sur le plan pratique. La combinaison des jetons CSRF et des cookies SameSite fournit une protection robuste. Étant donné que le CSRF est une vulnérabilité web courante exploitant le comportement des navigateurs pour effectuer des actions non désirées en tant qu'utilisateurs authentifiés, et puisque la compréhension de son fonctionnement et de sa prévention (jetons CSRF, cookies SameSite, protections du framework) est importante pour les développeurs web, comprendre le CSRF et sa prévention est une connaissance de sécurité précieuse et pertinente sur le plan pratique — une classe d'attaque importante à comprendre et à défendre pour toute application web avec des opérations changeant d'état authentifiées, où les défenses (jetons CSRF et cookies SameSite) sont des connaissances clés pour protéger les utilisateurs contre les actions non désirées.