Le CSRF biscuit jeton est dit pour protéger contre les attaques cross-site car il serait mieux garantie que la demande provient du javascript produit par notre site (cf: explanation, Spring-boot implementation)En quoi le cookie (X/C) SRF-TOKEN est-il plus sécurisé que le cookie JSESSIONID?
Ce cookie CSRF est fourni une fois connecté -in et est lié (hash linked ou similaire) à un cookie SESSION-ID; Puisque (contrairement aux navigateurs), les javascripts provenant d'un site différent ne peuvent pas lire un cookie d'un autre site et le renvoyer via un en-tête http, si le serveur reçoit la valeur de ce cookie via cet en-tête, il doit provenir de javascript. de notre site.
Autres ressources explique que https devrait encore être utilisé pour que ce mécanisme soit sécurisé ...
- peut pas le cookie de session ID être renvoyés dans le http en-tête personnalisé par javascript et je ne il doit être également sécurisé?
double possible de [Pourquoi ne pas utiliser l'ID de session comme XSRF jeton?] (Http://stackoverflow.com/questions/6968074/why-not-use-session- id-as-xsrf-token) – Andreas
Impossible d'accéder aux cookies httpOnly en utilisant javascript – charlietfl
Oui @andrea merci, même si la question sur le lien que vous donnez est clairement liée à la structure de jeu. J'ai mis à jour ma question pour être agnostique de cadre ... – user1767316