Les tokens et SESSION PHP

Par dancom5, il y a 15 ans

PHP

Bonjour.

Concernant la fail CSRF, d'après ce que je comprends, on doit tester aussi pour le REFERER mais si on ne mets que le système de Jeton, c'est pas suffisant?

Si l'admin ne sors pas de son site pendant qu'il administre son site, la fail CSRF ne s'applique pas?

Surement qu'on doit obliger l'utilisation de formulaire à l'intérieur du site seulement en imposant le domaine du site-même?
(url absolu).

Petit commentaire à propos de tutoriels qui touche la programmation, c'est difficile de voir ce qui est écrit et on doit seulement écouter. Et ça serait le fun d'avoir une version écrite. Même s'il est bien fait le tuto!

Bien à vous,
Dan

1 réponse

Grafikart, il y a 15 ans

Alors pour le CSRF si tu es sûr à 2000% que l'administrateur se déconnecte tout le temps dès qu'il a finit alors oui tu peux ne pas mettre en place le système de Token.
Pour le REFERER ce n'est pas suffisant ça fait une première barrière (ça bloque les boulets je dirais) mais quelqu'un qui a décidé de vraiment emmerder peux arriver à passer outre et faire en sorte de feinter le referer.

Pour les tutoriel en plein écran le code est visible :)
Pour les versions écrite le principal souci c'est que c'est long à rédiger et pas forcément digeste.