Rajouter un token anti CSRF dans son code sans passer par Spring Security


Avoir une faille CSRF consiste à laisser la possibilité, à un attaquant, de réaliser des appels à vos API publiques, sans vérifier que les appels proviennent bien de votre site.

Ainsi, si vous laissez cette possibilité, il pourrait réaliser un virement, fermer son compte, bref réaliser des actions non voulues pour chaque client passant sur une page web, qui ouvrirait une iframe avec un formulaire autovalidé, par exemple. Invisible pour le client !

En Java, pour se prémunir de ça, on peut tout simplement utiliser Spring Security sur son propre site. Ou alors, suivre les recommandations de l’OWASP/ESAPI en le faisant soit-même.


Comments are closed.