Protection CSRF

La falsification de requête inter-sites (également connue sous le nom de CSRF ou XSRF) est un type d’exploitation malveillante d’un site Web où des commandes non autorisées sont transmises d’un utilisateur de confiance par l’application Web. Pour atténuer ce type d’attaque, vous pouvez utiliser le package csurf.

Utilisation avec Express (par défaut)

Commencez par installer le package requis :

$ npm i --save csurf

Attention

Ce package est obsolète, consultez la documentation de csurf pour plus d’informations.

Attention

Comme expliqué dans la documentation de csurf, ce middleware nécessite que le middleware de session ou cookie-parser soit initialisé en premier. Veuillez consulter cette documentation pour des instructions supplémentaires.

Une fois l’installation terminée, appliquez le middleware csurf en tant que middleware global.

Exemple d'utilisation avec Express

import * as csurf from 'csurf';
// ...
// quelque part dans votre fichier d'initialisation
app.use(csurf());

Utilisation avec Fastify

Commencez par installer le package requis :

$ npm i --save @fastify/csrf-protection

Une fois l’installation terminée, enregistrez le plugin @fastify/csrf-protection, comme suit :

Exemple d'utilisation avec Fastify

import fastifyCsrf from '@fastify/csrf-protection';
// ...
// quelque part dans votre fichier d'initialisation après l'enregistrement d'un plugin de stockage
await app.register(fastifyCsrf);

Attention

Comme expliqué dans la documentation de @fastify/csrf-protection ici, ce plugin nécessite qu’un plugin de stockage soit initialisé en premier. Veuillez consulter cette documentation pour des instructions supplémentaires.