Bonjour,

Est-il prévu que Jelix implémente une solution/un moyen afin de renforcer la sécurité dans la saisie des formulaires et l'utilisation d'url "utilisateur" (specifique à un utilisateur genre le logout) pour éviter les CSRF/XSS ?

Je pose la question parce que j'ai croisé cette fonctionnalité ailleurs pour éviter des désagréments que l'on connait.

J'ai pu voir 2 implémentations :

1. une façon simple : Générer une clé random dans le contrôleur, mettre cette valeur dans le formlaire + en session, et lors de la soumission du formulaire, vérifier cette valeur avec celle mise dans le cookie/session.
2. une façon plus ardue : Générer une clé à partir de :
   • la fonction crypt/md5 (ou autre)
   • un seed
   • la liste des champs présents dans le fomrulaire (récupérée depuis le fichier foobar.form.xml par exemple)

la premiere solution peut-être implémenter sans toucher au framework mais pas la seconde.

comme je ne connais pas assez le framework je ne suis pas pret à implementer la 2nde solution, ni si c'est une fonction qui vous siérait ;)

cordialement.

Salut,

XSS, c'est déjà fait (jelix 1.1a), et CSRF, c'est prévu.

Générer une clé à partir de la liste des champs est inutile est insuffisant à la fois. Inutile car on a déjà une clé unique pour l'utilisateur : la clé de session. Insuffisant parce que pour bien faire, il faudrait aussi prendre en compte un timeout de saisi.

autre remarque : les formulaires qui ont un captcha sont protégés "naturellement" par les CSRF (même si pas à 100%).