Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Comment vérifier la provenance?
Bonjour à tous.
J'aurais voulu savoir s'il était possible de connaitre la provenance du formulaire, histoire d'être sur qu'il vient bien de notre site?
J'ai vu qu'il y avait $_SERVER['HTTP_REFERER']; mais apparament pas très fiable,
et avec les sessions je ne vois pas trop comment faire.
Merci de votre aide.
Le referer n'est pas fiable dans le sens où il s'agit d'une info soumise par le client.
La session est une solution. Suffit de valoriser une variable drapeau sur la page du formulaire et de contrôler son existence avant son traitement.
http://fr.php.net/session
Attention, la presence d'une session ne garantie pas que le formulaire n'a pas été falsifié ni qu'il vient de la bonne personne.
Oui c'est vrai, mais selon les besoins cela peut demeurer suffisant.
Justement ça suffit pas. Si la personne vient sur le formulaire, ça initialise la variable de session, mais si il fait un simple "enregistrer sous", il pourra falsifier mon formulaire.
Et si il le soumet la variable de session existera vu qu'il aura accédé au formulaire une première fois.
Il n'y a aucun moyen de garantir que le formulaire n'a pas été falsifié sinon que de controler la coherence des données reçues.
salut
j'ai un ticket sur mon blog qui traite sur ce sujet (particulierment pour les requete AJAX).
mais vous pouvez l'addapté en incluant toujours dans vos poste le token dans un champs hidden.
@+
Ca ne repond malheureusement toujours pas a la problèmatique, token ou non, les données peuvent avoir été falsifiées.
Je ne suis de plus pas d'accord avec le principe "et ces requêtes peuvent être plus au moins dangereuse pour votre systeme".
Ca veut dire quoi "une requete dangereuse" ? Faire une suppression ou une modification dans la base de donnée ? Ca relève du controle des droits de l'utilisateur, le token n'apporte rien.
Le token trans-page peut juste valider qu'on est bien passé par le formulaire et donc eviter un envoi direct de donnée vers la page de traitement (et encore a condition de re-initialiser le token dans celle-ci).
oui mais on divise Quand meme par 1 milliard le nombre de chances pour que ça soit falsifiée.
Quelle est la methode la plus simple, la plus rapide, la plus directe pour falsifier un formulaire ?
Allez sur le formulaire (ba oui il faut connaitre ce qu'il y a a falsifier), modifier les champs (firefox et une extension), valider.
Falsificateur 1 - Token 0
authentification n'est pas une barrière infaillible on peut aussi exploiter la naïveté de l'utilisateur qui va lui même déclencher une attaque CSRF en étant authentifié
la méthode que j'ai proposé est juste de faire signé nos formulaire le temps d'une session et cette signature change a chaque connexion.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager