1. Glossaire
  2. Falsification de requête inter-sites (CSRF)

Cette page a été traduite à partir de l'anglais par la communauté. Vous pouvez contribuer en rejoignant la communauté francophone sur MDN Web Docs.

View in English Always switch to English

Falsification de requête inter-sites (CSRF)

Dans une attaque de falsification de requête inter-sites (cross-site request forgery, CSRF en anglais), un·e attaquant·e trompe le navigateur pour qu'il effectue une requête HTTP vers le site cible à partir d'un site malveillant. La requête inclut les identifiants de l'utilisateur·ice et amène le serveur à exécuter une action nuisible, pensant que l'utilisateur·ice l'a voulue.

Une attaque CSRF est possible si un site web :

  • utilise des requêtes HTTP pour modifier un état côté serveur ;
  • utilise uniquement des cookies pour valider que la requête provient d'un·e utilisateur·ice authentifié·e ;
  • utilise uniquement des paramètres dans la requête qu'un·e attaquant·e peut prédire.

Il existe plusieurs moyens de se défendre contre les attaques CSRF, notamment l'utilisation de jetons CSRF, l'utilisation des métadonnées fetch pour bloquer certaines requêtes inter-sites, et le paramétrage de l'attribut SameSite sur les cookies utilisés pour authentifier les requêtes sensibles.

Voir aussi

Help improve MDN

Learn how to contribute

Cette page a été modifiée le par les contributeurs du MDN.

View this page on GitHubReport a problem with this content