Postcards from the post-XSS world
mardi 5 février 2013 à 08:16[lcamtuf.coredump.cx]
Cette page recense différentes formes d'attaque (dont XSRF). Pas encore eu le temps de lire mais ça a l'air bigrement intéressant.
Ça explique aussi la raison pour laquelle Google ajoute while(1); au début de tout json renvoyé par des services comme GMail: http://stackoverflow.com/questions/3146798/why-do-people-put-code-like-throw-1-dont-be-evil-and-for-in-front-of
à mon avis, une lecture à garder sous le coude sur la sécurité web.
Cette page recense différentes formes d'attaque (dont XSRF). Pas encore eu le temps de lire mais ça a l'air bigrement intéressant.
Ça explique aussi la raison pour laquelle Google ajoute while(1); au début de tout json renvoyé par des services comme GMail: http://stackoverflow.com/questions/3146798/why-do-people-put-code-like-throw-1-dont-be-evil-and-for-in-front-of
à mon avis, une lecture à garder sous le coude sur la sécurité web.