2
Jeton CSRF nécessaire lors de l'utilisation de l'authentification sans état (= sans session)?
Est-il nécessaire d'utiliser la protection CSRF lorsque l'application repose sur l'authentification sans état (en utilisant quelque chose comme HMAC)? Exemple: Nous avons une seule application de la page (sinon nous devons ajouter le jeton sur chaque lien: <a href="...?token=xyz">...</a>. L'utilisateur s'authentifie en utilisant POST /auth. En cas d'authentification réussie, le …