CSRF, CORS et la politique de même origine : une lutte pour la sécurité des navigateurs
Cet article examine les mécanismes de sécurité web de CSRF (Cross-Site Request Forgery) et CORS (Cross-Origin Resource Sharing). Bien que tous deux concernent les requêtes intersites, leurs fonctions et mécanismes diffèrent considérablement. Par défaut, les navigateurs appliquent la politique de même origine, restreignant les écritures intersites mais autorisant les lectures intersites. CSRF exploite les failles de cette politique, tandis que CORS fournit un mécanisme permettant d’autoriser des requêtes intersites spécifiques. L’article analyse l’impact de l’attribut SameSite sur CSRF, le rôle crucial des navigateurs dans l’architecture globale de sécurité, et note que l’adoption de la valeur par défaut SameSite=Lax par les navigateurs affectera directement la sécurité d’Internet.