Est-il nécessaire d'utiliser la protection CSRF lorsque l'application repose sur l'authentification sans état (en utilisant quelque chose comme HMAC)?
Exemple:
Nous avons une seule application de la page (sinon nous devons ajouter le jeton sur chaque lien:
<a href="...?token=xyz">...</a>
.L'utilisateur s'authentifie en utilisant
POST /auth
. En cas d'authentification réussie, le serveur renverra un jeton.Le jeton sera stocké via JavaScript dans une variable à l'intérieur de l'application à page unique.
Ce jeton sera utilisé pour accéder aux URL restreintes telles que
/admin
.Le jeton sera toujours transmis à l'intérieur des en-têtes HTTP.
Il n'y a PAS de session Http et PAS de cookies.
Pour autant que je sache, il ne devrait (?!) Pas y avoir de possibilité d'utiliser des attaques intersites, car le navigateur ne stockera pas le jeton et ne peut donc pas l'envoyer automatiquement au serveur (c'est ce qui se passerait lors de l'utilisation de cookies / Session).
Est-ce que je manque quelque chose?