Bonjour,

Est ce qu'il est nécessaire de faire passer un jeton csrf dans une requête ajax ?

Et dans un ( onclick='action(passage d1 csrf)' )?

Merci,

1 réponse


antho07
Réponse acceptée

Bonjour,

En faite on utilise de manière générale différemment les requêtes GET et les requêtes POST:

Une GET est normalement utilisé lorsque la répétition de la requête n'engendre aucune conséquence : tu recharges 55 fois la page.. oui ok bah tu auras 50 fois la même page à la même adresse.

Une POST elle, est normalement utilisée lorsque la requête apporte une modification, la rejouer présente donc un risque: tu poste un message sur le forum, tu fais 40 fois la requête tu modifie 40 fois le contenu. La requête a des conséquences sur les données.

(Exception, les requêtes GET avec de lourdes données sont passés en plutôt en POST, cela parce que la taille de l'url est limité dans les navigateurs, évite de passer une image encodée en base 64 par l'url XD)

Dans ton cas si ce GET ne fait que récupérer une page accessible sans conditions , il n'est pas nécessaire de la protéger..
Quelle manipulation on pourrait faire? Si un utilisateur modifie cette requête, il aura une autre page... , si il modifie des paramètres de lecture (genre un id) il aura la page d'un autre id. Tant que il n'y a pas de modifications de données.. il ne fera que récupérer du contenu , n'écrira rien.. Pour les pages membres, la session du serveur fera le travail ..

Le get en ajax c'est simplement comme si tu mettais l'adresse dans le navigateur et récupéré le contenu mais en arrière plan.

cordialement.