Dans une attaque defalsification de requête inter-sites (cross-site request forgery, CSRF en anglais), un·e attaquant·e trompe le navigateur pour qu'il effectue une requête HTTP vers le site cible à partir d'un site malveillant. La requête inclut les identifiants de l'utilisateur·ice et amène le serveur à exécuter une action nuisible, pensant que l'utilisateur·ice l'a voulue.

Une attaque CSRF est possible si un site web :

• utilise des requêtes HTTP pour modifier un état côté serveur ;
• utilise uniquement des cookies pour valider que la requête provient d'un·e utilisateur·ice authentifié·e ;
• utilise uniquement des paramètres dans la requête qu'un·e attaquant·e peut prédire.

Il existe plusieurs moyens de se défendre contre les attaques CSRF, notamment l'utilisation dejetons CSRF, l'utilisation desmétadonnées fetch pour bloquer certaines requêtes inter-sites, et leparamétrage de l'attributSameSite sur les cookies utilisés pour authentifier les requêtes sensibles.

Voir aussi

• Falsification de requête inter-sites
• Aide-mémoire pour la prévention des attaques CSRF^(angl.) surowasp.org^(angl.)