Différences entre versions de « NF16616 — Sécurisation des API ⇒ identification par header pour sécuriser les attaques par CSRF. »
De Documentation Polaris
m (R2d2 a déplacé la page NF16616 — Sécurisation des API (CSRF) vers NF16616 — Sécurisation des API ⇒ identification par header pour sécuriser les attaques par CSRF. : changement auto. de libellé de la catégorie par le cartographe) |
(modifications automatiques tags et catégories via le cartographe) |
||
| Ligne 1 : | Ligne 1 : | ||
| − | [[Catégorie:CG58 → A classer]]{{DebutInfoCartographe}}{{#cartographie:16616}} | + | [[Catégorie:CG58 → A classer]]{{DebutInfoCartographe}}{{#cartographie:16616}}{{Depuis|8.02.0.34581}} |
<blockquote><small>''Voir la carte de la fonctionnalité : [[PP58_—_A_classer#NF16616|A classer]]''</small></blockquote>{{FinInfoCartographe}} | <blockquote><small>''Voir la carte de la fonctionnalité : [[PP58_—_A_classer#NF16616|A classer]]''</small></blockquote>{{FinInfoCartographe}} | ||
{{DebutChapeau}}<br/><br/> | {{DebutChapeau}}<br/><br/> | ||
Version actuelle datée du 23 mars 2020 à 10:57
Disponible depuis la version 8.02.0.34581
Voir la carte de la fonctionnalité : A classer
Les API supportent l'identification par header, ce qui sécurise les attaques par CSRF.
Pour rendre les API plus résistantes aux attaques par CRSF, elles ont été transformées en API REST, i.e. soumis à un verbe HTTP :
- les lectures sur un GET
- les actions, écritures uniquement réservées à un PUT, POST, DELETE
Un système a été mis en place permettant de préciser le verbe HTTP attendu :
- ANY (tous, comme actuellement, en obsolète pour assurer la transition)
- GET, POST, PUT, DELETE
A terme, le ANY doit disparaître.