Le cookie « csrftoken », à quoi sert-il ?

Bonjour !

J’ai remarqué que ZdS dépose le cookie csrftoken lorsqu’on se connecte à notre compte.
Je me demandais à quoi pouvait bien servir ce cookie sachant…

• …qu’il est conservé même après la déconnexion ;
• …qu’il n’est pas déposé tant qu’on ne se connecte pas.

Ce cookie est-il utilisé pour du tracking ?
Il semble plus sécurisé que le cookie sessionid.

Merci d’avance pour les réponses !

À savoir que de nos jours, on peut configurer les cookies en mode SameSite=Strict pour le même résultat et ainsi se passer d’un token. Cependant, garder le csrftoken de Django (ou autre framework) est une bonne idée pour les navigateurs qui ne le supportent pas encore bien.

sessionid
Ce cookie est un identifiant unique qui permet de faire le lien entre votre session de navigation et les différentes pages que vous visitez.

Si je comprends bien cette phrase, ZdS enregistre l’historique des pages visitées lorsqu’on est connecté ?

Non. C’est juste un petit cookie qui dit, "coucou, c’est moi". Sinon comment veux tu que le site sache à qui il a affaire lorsqu’on lui demande une page ? (non, l’adresse IP n’est pas une solution : imagine que toi et quelqu’un de ta famille se connectent sur le même site sous le même toi en même temps)

L’historique des pages est logué et avec un peu d’effort on pourrait retrouver l’ensemble des pages consultées par un membre mais c’est la loi.

Le sessionid c’est vraiment pour ta session. Après t’être authentifier, tu as ta session authentifiée. Qui te permet d’envoyer des messages, d’écrire des contenus, … Seul ta session à le droit de modifier tes tutoriels par exemple. C’est à ça que sert le sessionid. La correspondance sessionid et utilisateur est stockée sur le serveur.

Je note que cette page mériterait d’être plus connue, ne serait-ce que pour la recette de cookies

C’est la meilleure recette de cookies que je connaisse, c’est sur que ce serait dommage de s’en priver.