Hello les Alsanautes 
Je programme un petit site d'apprentissage de vocabulaire. Les utilisateurs connectés peuvent répondre à des quiz de listes de vocabulaire, et une fois qu'ils ont fini le quiz leur score est enregistré dans la base de données.
J'ai vu sur internet qu'ajax pouvait poser de gros risques de sécurité, notamment les attaques cross-site CSRF.
Dans les exemples que j'ai vus il faut utiliser une clé token mais j'ai du mal a comprendre le principe.
Ce que je ne comprends pas est que dans mon cas sur mon site, seuls les utilisateurs connectés peuvent jouer aux quizs, les scripts AJAX ne peuvent donc s'éxecuter que si l'utilisateur est déja connecté à son compte, je pense ne pas avoir besoin de sécuriser mon site contre les CSRF.
Dites-moi si je me trompe mais je pense ne pas avoir besoin de sécuriser mes scripts ajax avec un token car de toute façon mes scripts ajax ne sont accessibles qu'aux utilisateurs qui sont connectés, exemple:
Est-ce que la faille CSRF s'applique uniquement à des scripts ajax publics accessible à tout le monde même des visiteurs anonymes (par exemple un champ de recherche ajax sur la page d'accueil) ?
Modifié par ZlatenSkunk (03 Feb 2021 - 08:21)
Je programme un petit site d'apprentissage de vocabulaire. Les utilisateurs connectés peuvent répondre à des quiz de listes de vocabulaire, et une fois qu'ils ont fini le quiz leur score est enregistré dans la base de données.
J'ai vu sur internet qu'ajax pouvait poser de gros risques de sécurité, notamment les attaques cross-site CSRF.
Dans les exemples que j'ai vus il faut utiliser une clé token mais j'ai du mal a comprendre le principe.
Ce que je ne comprends pas est que dans mon cas sur mon site, seuls les utilisateurs connectés peuvent jouer aux quizs, les scripts AJAX ne peuvent donc s'éxecuter que si l'utilisateur est déja connecté à son compte, je pense ne pas avoir besoin de sécuriser mon site contre les CSRF.
Dites-moi si je me trompe mais je pense ne pas avoir besoin de sécuriser mes scripts ajax avec un token car de toute façon mes scripts ajax ne sont accessibles qu'aux utilisateurs qui sont connectés, exemple:
if ($userID > 0 ){
saveScoresAjax( $userID, $scoresJSON );
} else { die('vous devez être connecté pour exécuter le script ajax'); }Est-ce que la faille CSRF s'applique uniquement à des scripts ajax publics accessible à tout le monde même des visiteurs anonymes (par exemple un champ de recherche ajax sur la page d'accueil) ?
Modifié par ZlatenSkunk (03 Feb 2021 - 08:21)