Discussion :

[Susanno]

Bonsoir tout le monde!

j'aimerais connaitre vos avis concernant la protection csrf quand j'utilise des requètes jquery!

est elle nécessaire ? dans mon cas j'utilise des fonctions jquery pour faire appel à mes actions par exemple quand un utilisateur veut supprimer un ami de sa liste il le glisse dans la corbeille (interface drag and drop) et je passe en paramètre l'id de l'ami en question seulement car l'id de l'utilisateur est déjà stocké en session!

le problème ici est que je n'utilise pas la protection csrf donc j'aimerais savoir si elle est nécessaire vu que je ne passe en paramètre que l'id de l'ami à supprimer et pas les deux ids! et si elle est nécessaire comment devrais je procèder pour l'implémenter!

Merci d'avance

[lucas74]

amha la protection contre les CSRF par token devrait être systématique...
Tu généres un identifiant unique lors de l'authentification d'un user, que tu insères en paramètre à chaque requête et que tu vérifies systématiquement.
Enfin je ne connais pas symfony donc je ne peux pas t'aider à l'implémenter avec les outils du framework, mais je peux t'expliquer le principe...
S'il existe de meilleures méthodes je suis preneur.

[Susanno]

merci pour ta réponse

en fait avec symfony un champ csrf est généré automatiquement avec chaque formulaire, d'ailleurs c'est l'un des mérites du framework symfony mais vu que je n'utilise pas de formulaire ici je me demande s'il y'a un autre moyen de générer ce token pour mes requètes!

bon à la limite je peux faire un pseudo formulaire où il ny'a que le token csrf mais je ne sais pas comment faire pour ajouter le contrôle du coté action
la méthode checkcsrfprotection ne concerne que les fonctions link_to à ma connaissance!