Ok les gars, je suis en train d’écrire une application Django et je veux juste avoir une idée de ce qu’est en réalité un jeton CSRF et comment protéger les données? si nous n'utilisons pas de jetons CSRF, la publication des données n'est-elle pas sécurisée?
Eh bien, je sais comment utiliser csrf_token mais j'ai besoin de quelques informations pour savoir comment cela fonctionne. Merci
Oui, les données de publication sont sécurisées. Mais l'origine de ces données n'est pas. De cette façon, quelqu'un peut inciter l'utilisateur JS à se connecter à votre site tout en naviguant sur la page Web de l'attaquant.
Afin d'éviter cela, Django enverra une clé aléatoire à la fois dans les cookies et les données de formulaire. Ensuite, lorsque les utilisateurs postent, il vérifie si deux clés sont identiques. Dans le cas où l'utilisateur est trompé, un site Web tiers ne peut pas obtenir les cookies de votre site, ce qui provoque une erreur d'authentification.
Le site génère un jeton unique lorsqu'il crée la page de formulaire. Ce jeton est requis pour publier / récupérer des données sur le serveur.
Étant donné que le jeton est généré par votre site et fourni uniquement lorsque la page contenant le formulaire est générée, un autre site ne peut pas imiter vos formulaires. Ils n'auront pas le jeton et ne pourront donc pas publier sur votre site.
La racine de tout cela est de s'assurer que les demandes proviennent des utilisateurs réels du site. Un jeton csrf est généré pour les formulaires et doit être lié aux sessions de l'utilisateur. Il est utilisé pour envoyer des requêtes au serveur, sur lesquelles le jeton les valide. C’est un moyen de se protéger contre le csrf, un autre serait de vérifier l’en-tête du référent.
csrf est régulièrement en ligne de l'attaque des pirates l'habitude de faire avec notre site web de formulaire de soumission page. En gros, c'est un méchant mal de demandes que peuvent provoquer une panne de notre serveur. Donc, si nous avons jeton csrf dans le modèle et la vue, puis il va les vérifier à chaque fois et automatisé robot ne peut pas envoyer des données à notre serveur. C'est le mécanisme de sécurité utilisé à l'échelle dans django. Et pour info..s'il vous plaît utilisez ce lien. [https://www.acunetix.com/what-are-csrf-attacks/][1]
Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.
