Différences entre versions de « NF16616 — Sécurisation des API ⇒ identification par header pour sécuriser les attaques par CSRF. »

Version du 20 novembre 2019 à 10:48

Voir la carte de la fonctionnalité : A classer

Les API supportent l'identification par header, ce qui sécurise les attaques par CSRF.

Pour rendre les API plus résistantes aux attaques par CRSF, il est nécessaire de les transformer en API REST, i.e. soumis à un verbe HTTP :

Un système a été mis en place permettant de préciser le verbe HTTP attendu :

A terme, le ANY doit disparaître.

@@ Ligne 1 : / Ligne 1 : @@
 [[Catégorie:CG58 → A classer]]{{DebutInfoCartographe}}{{#cartographie:16616}}
 <blockquote><small>''Voir la carte de la fonctionnalité : [[PP58_—_A_classer#NF16616|A classer]]''</small></blockquote>{{FinInfoCartographe}}
-{{DebutChapeau}}<br/><br/>{{FinChapeau}}
+{{DebutChapeau}}<br/><br/>
+Les API supportent l'identification par header, ce qui sécurise les attaques par CSRF.
+{{FinChapeau}}
+Pour rendre les API plus résistantes aux attaques par CRSF, il est nécessaire de les transformer en '''API REST''', i.e. soumis à un verbe HTTP :
+* les lectures sur un GET
+* les actions, écritures uniquement réservées à un PUT, POST, DELETE
+Un système a été mis en place permettant de préciser le verbe HTTP attendu :
+* ANY (tous, comme actuellement, en obsolète pour assurer la transition)
+* GET, POST, PUT, DELETE
+A terme, le ANY doit disparaître.