Le cookie « csrftoken », à quoi sert-il ?

Le problème exposé dans ce sujet a été résolu.

Bonjour !

J’ai remarqué que ZdS dépose le cookie csrftoken lorsqu’on se connecte à notre compte.
Je me demandais à quoi pouvait bien servir ce cookie sachant…

  • …qu’il est conservé même après la déconnexion ;
  • …qu’il n’est pas déposé tant qu’on ne se connecte pas.

Ce cookie est-il utilisé pour du tracking ?
Il semble plus sécurisé que le cookie sessionid.

Merci d’avance pour les réponses ! :)

Salut,

Si je ne dis pas de bêtise il s’agit d’un cookie généré par Django permettant d’assurer que tu es bien à l’origine de l’envoi du formulaire, et donc pour éviter les attaques de type CSRF. Tu peux le supprimer sans problème après validation du formulaire.

À noter que l’usage que l’on fait des différents cookies est détaillée sur la page qui en parle.

Faut-il savoir, certes, qu’elle existe, vu qu’elle n’est que difficilement accessible hors du bandeau cookies (il faut aller sur un page statique (par exemple À propos), puis remonter à l’index des pages dans le fil d’ariane, et enfin sélectionner la page…).

+0 -0

sessionid
Ce cookie est un identifiant unique qui permet de faire le lien entre votre session de navigation et les différentes pages que vous visitez.

Si je comprends bien cette phrase, ZdS enregistre l’historique des pages visitées lorsqu’on est connecté ?

Non. C’est juste un petit cookie qui dit, "coucou, c’est moi". Sinon comment veux tu que le site sache à qui il a affaire lorsqu’on lui demande une page ? (non, l’adresse IP n’est pas une solution : imagine que toi et quelqu’un de ta famille se connectent sur le même site sous le même toi en même temps) :)

L’historique des pages est logué et avec un peu d’effort on pourrait retrouver l’ensemble des pages consultées par un membre mais c’est la loi.

Le sessionid c’est vraiment pour ta session. Après t’être authentifier, tu as ta session authentifiée. Qui te permet d’envoyer des messages, d’écrire des contenus, … Seul ta session à le droit de modifier tes tutoriels par exemple. C’est à ça que sert le sessionid. La correspondance sessionid et utilisateur est stockée sur le serveur.

+2 -0

À noter que l’usage que l’on fait des différents cookies est détaillée sur la page qui en parle.

Faut-il savoir, certes, qu’elle existe, vu qu’elle n’est que difficilement accessible hors du bandeau cookies (il faut aller sur un page statique (par exemple À propos), puis remonter à l’index des pages dans le fil d’ariane, et enfin sélectionner la page…).

Amaury

Je note que cette page mériterait d’être plus connue, ne serait-ce que pour la recette de cookies :-°

Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte