Une attaque CSRF pour Cross Site Request Forgery consiste à faire exécuter des actions à un utilisateur en insérant des liens préconçus (par un lien envoyé dans un e-mail, par un lien dans un commentaire..). Elle est souvent confondue avec l’attaque XSS (prise de contrôle de session).
L’utilisateur s’il est authentifié sur un site exécutera une action interne voulue par le pirate insérée dans la requête HTTP falsifiée.
Pour se protéger contre cette faille vous pouvez utiliser un jeton de session, un cookie HTTPOnly, ou la vérification de l’en-tête Referer., une demande de confirmation etc..
Les jetons anti-CSRF sont des chaînes de caractères uniques qui sont générées par le serveur et envoyées au client dans une session ou un cookie. Lorsque le client soumet une requête, le serveur vérifie que le jeton est valide avant de traiter la requête.
Les cookies HTTPOnly sont des cookies qui ne sont pas accessibles via JavaScrip.