Bonjour,

J'ai une question technique pour savoir si j'ai bien compris quelque chose avec la faille csrf.

Quand on mets en place la protection via token, ça fonctionne comme ça :
-On a généré un token par rapport à (une session ?) d'un utilisateur coté serveur qu'on lui file
-A chaque demande POST/PUT/DELETE l'utilisateur doit aussi filer son token(modifié)

Et c'est sécurisé car même si un site b malveillant veut nous faire faire des actions qu'on a pas demandé (en nous envoyant en POST sur notre site) il ne peut pas savoir quel est notre token car :
-soit c'est stocké dans un cookie/local storage et il a pas accès
-soit c'est filé à chaque génération de formulaire et le site malveillant ne peut pas faire de requête cross-domain en Ajax pour chopper le token dans le formulaire

J'ai bon ?