WebExpress.CurrentCSRFToken
| WebExpress = class static (TObject) | Interface de WebExpress | Exemples de WebExpress |
Qubes 9.0 Token CSRF a utiliser pour la réponse courante
Syntaxe
class function CurrentCSRFToken(): String
Remarques
Le token CSRF est un token cryptographique, globalement unique, généré par le serveur et lié strictement à la session de l'utilisateur.
Quand l'option RequireCSRF est active dans le QubesExpress, la présence d'un token CSRF est requise pour les requêtes POST. Le token peut être spécifié n'importe où dans la requête (en-tête http, contenu, paramètre du POST, etc.), comme il est globalement unique, le nom du champ ou du contenu n'est pas significatif. Pour lever les alertes CSRF des outils d'audit, tels qu'OWASP ZAP (https://www.zaproxy.org), on peut utiliser "X-CSRF" comme nom d'en-tête HTTP ou comme champ de formulaire.
Le token CSRF doit être transmis du serveur jusqu'au client (navigateur) par un canal distinct de celui des cookies et des paramètres d'URL (query field) : par exemple dans un champ META d'un document HTML, un champ hidden d'un formulaire, une variable spécifiée en javascript, etc.
NB : Le Cross-Site Request Forgery (CSRF) est un type d'attaque contre un site web (cf. https://owasp.org/www-community/attacks/csrf).
Pour l'éviter, il faut que le serveur vérifie que les requêtes émanent bien de sources légitimes, en plus du fait qu'elles contiennent le cookie de session. Une méthode recommandée pour cela est l'utilisation d'un token CSRF.