CSRF

Une définition du Jargon Français.
Aller à : Navigation, rechercher

Dr enus.png sigle féminin.  [type d'attaque]  [web]. Cross-Site Request (ou Reference) Forgery. Attaque consistant à faire exécuter à un utilisateur des actions sur un site lui faisant confiance, sans qu'il comprenne qu'il est en train de le faire, par exemple à l'aide de cross site scripting.

Exemple

Supposons qu'accéder à un URL (par exemple http://example.com/action?code=DELETE ) déclenche la destruction de contenu publié par un site web. C'est pratique car offre une API donc rend le serveur scriptable. Il n'est pas souhaitable que n'importe qui détruise, donc cette fonction sera par exemple réservée au seul administrateur, dûment logé donc reconnu comme tel par le serveur. Une CSRF consistera à piéger l'administrateur en constituant un site web qui lui montrera un lien menant discrètement à l'URL. S'il y accède en étant déjà logé (peut-être grâce à un cookie) l'action requise sera effectuée alors qu'il ne le souhaite vraisemblablement pas.

Pron.png si seurfe, pour « Sea Surf »
http://www.cgisecurity.com/csrf-faq.html   Explications détaillées (en anglais).

C'est la réciproque du XSS.