4.5.3 Parade et bonnes pratiques
Bien que XSS et CSRF soit proches dans le principe, se
protéger des attaques XSS ne permet pas de se protéger des
attaques CSRF.
Pour se protéger, il faut utiliser uniquement des
requêtes POST. Les méthodes GET doivent être bannies.
Attention toutefois, dans les servlet Java la méthode
« doGet() »fait appel à la méthode
« doPost() » en redirigeant l'ensemble des paramètres.
Dans ce cas l'utilisation de requêtes GET fonctionne. C'est pourquoi
l'utilisation de POST n'est pas une protection suffisante.
Pour les pages qui manipulent des données sensibles, il
faut demander à l'utilisateur de s'authentifier à nouveau. Cela
permet de s'assurer que l'utilisateur est conscient de l'action et
l'approuve.
L'utilisateur doit toujours vérifier que le lien sur
lequel il clique est bien celui de l'application qu'il veut utiliser.
| 
