Discussion :

[mapmip]

Bonjour,
savez-vous à quoi sert ValidateAntiForgeryToken ?
Merci d'avance

[Invité]

Provenant de MSDN :

Représente un attribut utilisé pour détecter si la requête d'un serveur a été falsifiée.

C'est utilisé sur les actions type POST.

[meziantou]

Ca permet de se prémunir des attaques type XSRF.

[mapmip]

Ca permet de se prémunir des attaques type XSRF.

merci dans l'article je lis qu'on peut faire passer un script pour une image. Comment c'est possible ça ?

[meziantou]

par exemple si ton site autorise une action en appelant une url type http://www.site.com/delete/1
il suffit de mettre dans l'attribut src de l'image l'url correspondant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<img src="http://www.site.com/delete/1">

Dans ce cas le navigateur va faire une requête de type GET sur la page indiquée et récupérer le contenu et l'afficher à l'utilisateur. Seulement dans ce cas le contenu n'est pas une image et le navigateur n'affiche donc rien, mais la requête effectuant l'action a été faite.

[g.Arnaud]

C'est un méthode pour ajouter un peu plus de sécurité à l'application.

Comme l'as dit mon VDD, ça permet d'éviter un certaines nombres d'attaques de type XSRF.

Le but est de vérifier si l'utilisateur qui envoie les données est bien passer par le formulaire pour le faire.

Après, ce n'est pas une méthode infaillible non plus mais ça complique bien la vie au pirate pour peu de boulot de la part du développeur.