Qu'est ce qu'un jeton CSRF ? Quelle est son importance et comment ça fonctionne?

Je suis en train d'écrire une application (Django, il se trouve) et je veux juste une idée de ce que fait un "jeton CSRF" est et comment il protège les données. Est le post de données pas sûr si vous n'utilisez pas les jetons CSRF?

  • C'est un secret, spécifiques à l'utilisateur de jeton dans toutes les soumissions de formulaire et des effets secondaires Url pour éviter Cross-Site Request Forgeries. Plus d'infos ici: en.wikipedia.org/wiki/Cross-site_request_forgery
  • semble comme il ya une ligne fine entre la protection de la question et l'interdire d'être trop large 😀
  • À partir de OWASP Cross-Site Request Forgery (CSRF) Prévention de la Feuille de Triche: "Cross-Site Scripting n'est pas nécessaire pour CSRF de travail. Cependant, tout cross site scripting vulnerability peuvent être utilisées pour vaincre tous les CSRF techniques d'atténuation [...].C'est parce qu'un XSS charge utile peut simplement lire une page sur le site à l'aide d'un XMLHttpRequest [...]. Il est impératif qu'aucune faille XSS sont présents pour s'assurer que CSRF les défenses ne peuvent pas être contournées."
InformationsquelleAutor Shawn | 2011-03-05