En utilisant l'infrastructure Web Pyramid, lorsque la méthode new_csrf_token() est appelée sur un objet de session, invalide-t-elle les jetons CSRF émis précédemment?L'appel de la méthode new_csrf_token() sur un objet de session Pyramid invalide-t-il des jetons déjà émis?
Par exemple:
old_token = session.get_csrf_token()
new_token = session.new_csrf_token()
# Is old_token still valid for requests?
appel de la méthode new_csrf_token() sur un des objets de la session de Pyramid invalidera tous les jetons CSRF émis antérieurement pour cette session.
L'interface ISession de Pyramid définit uniquement deux méthodes qui traitent des jetons CSRF, get_csrf_token() et new_csrf_token(). Pour le moment, l'interface de session du framework ne permet pas l'existence de plusieurs jetons CSRF en même temps. (Ceci ignore un cas marginal avec des cookies signés, qui ne devrait pas affecter la sécurité de la protection CSRF.)
En interne, Pyramid appelle la méthode get_csrf_token() sur l'objet de session de la requête, puis compare la valeur renvoyée au jeton reçu dans la demande.
Il faut supposer que toute requête utilisant un ancien jeton de protection CSRF échouera.