• en
  • Langue : fr

Protection contre le « Cross site request forgery » (CSRF)

L’intergiciel et les balises de gabarit CSRF permettent de se protéger facilement contre les attaques de type Cross Site Request Forgeries. Ce type d’attaque se produit quand un site Web malveillant contient un lien, un bouton de formulaire ou un peu de JavaScript qui est destiné à effectuer une action sur votre site Web, en utilisant les informations d’identification d’un utilisateur connecté qui visite le site malveillant dans son navigateur. Un type d’attaque liée est également couverte : celle du « login CSRF », où un site attaquant piège le navigateur d’un utilisateur en se connectant à un site avec les informations d’identification de quelqu’un d’autre.

La première ligne de défense contre les attaques CSRF est de s’assurer que les requêtes GET (et les autres méthodes « sûres », telles que définies par la section 9.1.1 Safe Methods, HTTP 1.1, RFC 2616) sont sans effet de bord. Les appels par des méthodes « non sûres », comme POST, PUT et DELETE, peuvent ensuite être protégés en suivant les étapes ci-dessous.

Comment l’utiliser

Pour profiter de la protection CSRF dans les vues, procédez comme suit :

  1. L’intergiciel CSRF est activé par défaut dans le réglage MIDDLEWARE_CLASSES. Si vous surchargez ce réglage, rappelez-vous que 'django.middleware.csrf.CsrfViewMiddleware' doit figurer avant les intergiciels qui comptent sur le fait que les attaques CSRF ont déjà été contrées.

    Si vous le désactivez, ce qui n’est pas recommandé, vous pouvez utiliser csrf_protect() sur certaines vues que vous souhaitez protéger (voir ci-dessous).

  2. Dans tout gabarit qui utilise un formulaire POST, utilisez la balise de gabarit csrf_token à l’intérieur de la balise HTML <form> si le formulaire renvoie vers une URL interne, par exemple :

    <form action="." method="post">{% csrf_token %}
    

    Par contre, il ne faut pas le faire pour les formulaires POST qui ciblent des URL externes, car cela entraînerait la divulgation du jeton CSRF, et conduirait ainsi à une vulnérabilité.

  3. Dans les fonctions de vue correspondantes, assurez-vous que le processeur de contexte 'django.template.context_processors.csrf' est utilisé. Cela peut se faire généralement de deux manières :

    1. Utiliser RequestContext qui fait toujours appel à 'django.template.context_processors.csrf' (quels que soient les processeurs de contexte de gabarit configurés dans le réglage TEMPLATES). Si vous utilisez des vues génériques ou des applications « contrib », vous êtes déjà couverts dans la mesure où ces applications utilisent systématiquement RequestContext.

    2. Importer manuellement et utiliser le processeur pour générer le jeton CSRF et l’ajouter au contexte du gabarit. Par exemple :

      from django.shortcuts import render_to_response
      from django.template.context_processors import csrf
      
      def my_view(request):
          c = {}
          c.update(csrf(request))
          # ... view code here
          return render_to_response("a_template.html", c)
      

      Vous pouvez écrire votre propre adaptateur render_to_response() qui s’occupe de cette étape pour vous.

AJAX

Même si la méthode ci-dessus peut être utilisée pour les requêtes AJAX POST, elle présente quelques inconvénients : il ne faut pas oublier de passer le jeton CSRF en même temps que les données POST à ​​chaque requête POST. Pour cette raison, il y a une autre méthode : sur chaque XMLHttpRequest, définissez un élément d’en-tête X-CSRFToken ayant la même valeur que le jeton CSRF. C’est souvent plus simple, parce que de nombreuses bibliothèques JavaScript fournissent des points d’extension qui permettent d’ajouter des éléments d’en-tête pour chaque requête.

En premier lieu, vous devez obtenir le jeton CSRF lui-même. La source recommandée pour le jeton est le cookie csrftoken, qui sera présent si vous avez activé la protection CSRF pour votre vue, comme indiqué ci-dessus.

Note

Le cookie CSRF est nommé csrftoken par défaut, mais vous pouvez modifier ce nom via le réglage CSRF_COOKIE_NAME.

L’acquisition du jeton est simple :

// using jQuery
function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie != '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) == (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

Le code ci-dessus pourrait être simplifié en utilisant la bibliothèque JavaScript Cookie pour remplacer getCookie:

var csrftoken = Cookies.get('csrftoken');

Note

Le jeton CSRF est également présent dans le DOM, mais seulement s’il est explicitement inclus à l’aide de la balise csrf_token dans un gabarit. Le cookie contiendra le jeton standard ; le CsrfViewMiddleware préfèrera le cookie au jeton du DOM. De toute façon, vous êtes assuré d’avoir le cookie si le jeton est présent dans le DOM, il est donc préférable d’utiliser le cookie !

Avertissement

Si la vue n’utilise pas un gabarit contenant la balise csrf_token, Django peut ne pas définir le cookie CSRF. Cette situation apparaît souvent dans les cas où les formulaires sont ajoutés dynamiquement à la page. Pour résoudre ce problème, Django fournit un décorateur de vue qui force l’utilisation du cookie : ensure_csrf_cookie().

Pour terminer, il reste à effectivement définir l’en-tête sur la requête AJAX, tout en évitant que le jeton CSRF soit envoyé à d’autres domaines en utilisant settings.crossDomain dans les versions de jQuery 1.5.1 ou plus récentes :

function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});

Autres moteurs de traitement des gabarits

Lorsque vous utilisez un moteur de gabarit différent de celui du moteur intégré à Django, vous pouvez définir le jeton à la main dans vos formulaires après vous être assuré qu’il est inclus dans le contexte du gabarit.

Par exemple, dans le langage de gabarit Jinja2, le formulaire pourrait contenir ceci :

<div style="display:none">
    <input type="hidden" name="csrfmiddlewaretoken" value="{{ csrf_token }}">
</div>

Vous pouvez utiliser du code JavaScript similaire au code AJAX ci-dessus pour obtenir la valeur du jeton CSRF.

La méthode du décorateur

Plutôt que d’ajouter CsrfViewMiddleware comme une protection générale, vous pouvez utiliser le décorateur csrf_protect, qui offre exactement la même fonctionnalité, sur les vues particulières qui ont besoin de la protection. Ce décorateur doit être utilisé à la fois sur les vues qui insèrent le jeton CSRF dans leur rendu, et sur celles qui acceptent les données de formulaire POST. (Il s’agit souvent de la même fonction de vue, mais pas toujours).

Le recours à l’utilisation seule du décorateur n’est pas recommandé, car si vous oubliez de l’utiliser, vous aurez un trou de sécurité. La stratégie « ceinture et bretelles » qui consiste à utiliser les deux convient tout à fait et n’entraînera qu’une surcharge minimale.

csrf_protect(view)

Décorateur qui fournit la protection similaire à l’intergiciel CsrfViewMiddleware pour une vue.

Utilisation :

from django.views.decorators.csrf import csrf_protect
from django.shortcuts import render

@csrf_protect
def my_view(request):
    c = {}
    # ...
    return render(request, "a_template.html", c)

Si vous utilisez des vues fondées sur les classes, vous pouvez vous référer à la Décoration des vues fondées sur les classes.

Requêtes rejetées

Par défaut, une réponse de type « 403 Forbidden » est renvoyée à l’utilisateur si une requête entrante ne satisfait pas les contrôles effectués par CsrfViewMiddleware. Ça ne devrait généralement apparaître que lorsqu’il s’agit d’une véritable attaque de type « Cross Site Request Forgery », ou lorsqu’en raison d’une erreur de programmation, le jeton CSRF n’a pas été inclus dans un formulaire de type POST.

La page d’erreur n’est toutefois pas très sympathique, de sorte que vous pouvez fournir votre propre vue pour traiter cette condition. Pour ce faire, il suffit de définir le réglage CSRF_FAILURE_VIEW.

Fonctionnement

La protection CSRF est basée sur les éléments suivants :

  1. Un cookie CSRF qui est défini à une valeur aléatoire (un nonce cryptographique indépendant de la session, comme on l’appelle), auquelle les autres sites n’auront pas accès.

    Ce cookie est créé par l’intergiciel CsrfViewMiddleware. Il est destiné à être permanent, mais comme il n’est pas possible d’installer un cookie qui n’expire jamais, il est envoyé avec chaque réponse qui a appelé django.middleware.csrf.get_token() (la fonction utilisée en interne pour récupérer le jeton CSRF).

  2. Un champ de formulaire masqué avec le nom « csrfmiddlewaretoken » est présent dans tous les formulaires POST affichés. La valeur de ce champ correspond à la valeur du cookie CSRF.

    Cette action est effectuée par la balise de gabarit.

  3. Pour toutes les requêtes entrantes qui n’utilisent pas les méthodes HTTP GET, HEAD, OPTIONS ou TRACE, un cookie CSRF doit être présent, et le champ « csrfmiddlewaretoken » doit être présent et correct. Si ce n’est pas le cas, l’utilisateur obtiendra une erreur 403.

    Cette vérification est effectuée par l’intergiciel CsrfViewMiddleware.

  4. En outre, pour les requêtes HTTPS, un contrôle strict du référant est fait par le CsrfViewMiddleware. C’est nécessaire pour répondre à une attaque de type « Man-In-The-Middle » qui est possible sous HTTPS lors de l’utilisation d’un nonce cryptographique indépendant de la session, parce que les en-têtes HTTP « Set-Cookie » sont (malheureusement) acceptés par les clients qui parlent à un site en HTTPS. (La vérification du référant n’est pas faite pour les requêtes HTTP car la présence du référant dans l’en-tête n’est pas suffisamment fiable sous HTTP.)

Cela garantit que seuls les formulaires originaires de votre site Web peuvent être utilisés pour renvoyer des données avec une requête POST.

Les requêtes GET sont volontairement ignorées (ainsi que les autres requêtes définies comme « sûres » par la RFC 2616). Ces requêtes ne devraivent jamais avoir d’effets secondaires potentiellement dangereux, et de cette manière une attaque CSRF avec une requête GET doit être inoffensive. La RFC 2616 définit les méthodes POST, PUT et DELETE comme « non sûres », et toutes les autres méthodes sont supposées être dangereuses, pour que la protection soit maximale.

Mise en cache

Si la balise de gabarit csrf_token est utilisée par un gabarit (ou que la fonction get_token est appelée d’une autre façon), l’intergiciel CsrfViewMiddleware ajoute un cookie et un en-tête Vary: Cookie à la réponse. Cela signifie que l’intergiciel fonctionnera bien avec l’intergiciel de cache s’il est utilisé conformément aux instructions (UpdateCacheMiddleware doit être placé dans les réglages avant tout autre intergiciel).

Toutefois, si vous utilisez des décorateurs de cache sur des vues individuelles, l’intergiciel CSRF n’aura pas encore pu définir l’en-tête Vary ou le cookie CSRF, et la réponse sera mise en cache sans l’un ni l’autre. Dans ce cas, sur les vues qui nécessitent qu’un jeton CSRF soit inséré, vous devez utiliser le décorateur de fonction django.views.decorators.csrf.csrf_protect() en premier :

from django.views.decorators.cache import cache_page
from django.views.decorators.csrf import csrf_protect

@cache_page(60 * 15)
@csrf_protect
def my_view(request):
    ...

Si vous utilisez des vues fondées sur les classes, vous pouvez vous référer à la Décoration des vues fondées sur les classes.

Tests

Généralement, CsrfViewMiddleware gêne les tests des fonctions de vues, parce que le jeton CSRF doit être envoyé avec chaque requête POST. Le client HTTP de Django utilisé pour les tests a donc été modifié afin de marquer automatiquement les requêtes et ainsi d’informer l’intergiciel et le décorateur csrf_protect de manière à ce qu’ils ne rejettent pas ces requêtes. À tous les autres égards (par exemple, l’envoi des cookies, etc.), le comportement durant les tests est identique.

Si pour une raison quelconque vous voulez que le client HTTP utilisé pour les tests effectue des contrôles CSRF, vous pouvez créer une instance du client de test qui applique les vérifications CSRF :

>>> from django.test import Client
>>> csrf_client = Client(enforce_csrf_checks=True)

Limitations

Les sous-domaines d’un site peuvent placer des cookies sur le client pour l’ensemble du domaine. En définissant le cookie et en utilisant le jeton correspondant, les sous-domaines seront en mesure de contourner la protection CSRF. La seule façon d’éviter cela est de s’assurer que les sous-domaines sont contrôlés par des utilisateurs de confiance (ou, au moins ne sont pas en mesure de définir des cookies). Notez que même sans CSRF, il existe d’autres vulnérabilités, comme la fixation de session, qui font que donner des sous-domaines à des tierces parties non sûres est une mauvaise idée ; ces vulnérabilités ne peuvent pas facilement être résolues avec les navigateurs actuels.

Cas particuliers

Certaines vues peuvent avoir des exigences inhabituelles qui impliquent qu’elles ne correspondent pas au modèle normal envisagé ici. Un certain nombre d’utilitaires peuvent être utiles dans ces situations. Les scénarios qui pourraient alors être nécessaires sont décrits dans la section suivante.

Utilitaires

Les exemples ci-dessous s’appliquent à des vues basées sur des fonctions. Si vous utilisez des vues fondées sur les classes, vous pouvez vous référer à la Décoration des vues fondées sur les classes.

csrf_exempt(view)[source]

Ce décorateur marque une vue comme étant exempte de la protection assurée par l’intergiciel. Exemple :

from django.views.decorators.csrf import csrf_exempt
from django.http import HttpResponse

@csrf_exempt
def my_view(request):
    return HttpResponse('Hello world')
requires_csrf_token(view)

Normalement, la balise de gabarit csrf_token ne fonctionnera pas si CsrfViewMiddleware.process_view ou un équivalent comme csrf_protect n’a pas été utilisé. Le décorateur de vue requires_csrf_token peut être utilisé pour s’assurer que la balise de gabarit fonctionne. Ce décorateur fonctionne de façon similaire à csrf_protect, mais ne rejette jamais une demande entrante.

Exemple :

from django.views.decorators.csrf import requires_csrf_token
from django.shortcuts import render

@requires_csrf_token
def my_view(request):
    c = {}
    # ...
    return render(request, "a_template.html", c)

Ce décorateur force une vue à envoyer le cookie CSRF.

Scénarios

La protection CSRF doit être désactivée pour quelques vues

La plupart des vues nécessitent une protection CSRF, mais quelques-unes n’en ont pas besoin.

Solution : plutôt que de désactiver l’intergiciel et d’appliquer csrf_protect à toutes les vues qui en ont besoin, activez l’intergiciel et utilisez csrf_exempt().

CsrfViewMiddleware.process_view non utilisé

Il y a des cas où CsrfViewMiddleware.process_view n’aura pas été exécuté avant votre vue - les gestionnaires d’erreurs 404 et 500, par exemple - mais vous avez quand même besoin du jeton CSRF dans un formulaire.

Solution : utilisez requires_csrf_token()

Une vue non protégée nécessite le jeton CSRF

Certaines vues peuvent ne pas être protégées, peut-être exemptées par csrf_exempt, mais ont tout de même besoin d’inclure le jeton CSRF.

Solution : utilisez csrf_exempt() suivi de requires_csrf_token() (c’est à dire que requires_csrf_token doit être le décorateur le plus à l’intérieur).

Une vue a besoin de protection pour un chemin particulier

Une vue a besoin de protection CSRF seulement quand un certain nombre de conditions sont remplies, et ne doit pas être protégée le reste du temps.

Solution : utilisez csrf_exempt() pour l’ensemble de la fonction de vue, et csrf_protect() spécifiquement pour le chemin qui doit être protégé. Exemple :

from django.views.decorators.csrf import csrf_exempt, csrf_protect

@csrf_exempt
def my_view(request):

    @csrf_protect
    def protected_path(request):
        do_something()

    if some_condition():
       return protected_path(request)
    else:
       do_something_else()

Une page utilise de l’AJAX sans aucun formulaire HTML

Une page effectue une requête POST via AJAX, et cette page n’a pas de formulaire HTML avec une balise csrf_token qui provoquerait la transmission du cookie CSRF.

Solution : utilisez ensure_csrf_cookie() sur la vue qui envoie la page.

Applications intégrées et applications réutilisables

Comme il est possible pour le développeur de désactiver l’intergiciel CsrfViewMiddleware, toutes les vues concernées dans les applications « contrib » de Django utilisent le décorateur csrf_protect pour garantir la protection de ces applications contre les attaques CSRF. Il est recommandé que les développeurs d’autres applications réutilisables qui souhaitent offrir les mêmes garanties utilisent également le décorateur csrf_protect sur leurs vues.

Réglages

Un certain nombre de réglages peuvent être utilisés pour contrôler le comportement anti-CSRF de Django :

Back to Top