Erreur CSRF à l'inscription

Hello les zesteux. Je vous joins ici le message d'un futur zesteu posté sur diaspora. Il souhaite s'inscrire mais obtient une erreur lors de la vérification CSRF. Il ne souhaite pas envoyer de mail sur une adresse gmail. Je ferai la navette si y a besoin

salut zestedesavoir

c’est quoi ce charabia (voir ci-dessous), svp?

je voulais m’inscrire sur le site, mais j’ai ce message d’erreur, quelqu’un pour m’éclairer svp?

“Interdit (403)

La vérification CSRF a échoué. La requête a été interrompue.

Vous voyez ce message parce que ce site HTTPS exige que le navigateur Web envoie un en-tête « Referer », ce qu’il n’a pas fait. Cet en-tête est exigé pour des raisons de sécurité, afin de s’assurer que le navigateur n’ait pas été piraté par un intervenant externe.

Si vous avez désactivé l’envoi des en-têtes « Referer » par votre navigateur, veuillez les réactiver, au moins pour ce site ou pour les connexions HTTPS, ou encore pour les requêtes de même origine (« same-origin »).”

Il utilise un Firefox à jour, avec quelques extensions :

NoScript, uBlock (origin), Lightbeam, Blender (et quelques autres qui n’interfèrent pas avec la sécurité, comme WOT ou Calomel SSL Validation, par exemple)

Mais apparemment, ce ne sont pas elles qui causent ce problème.

Salutations.

Dans le about:config de firefox, il faut vérifier la valeur de network.http.sendRefererHeader de mémoire la valeur par défaut doit être deux, mais il peut la réinitialiser dans le doute.

Certains anti-virus peuvent aussi avoir un impact dans ce genre de cas, en bloquant l'utilisation du header qui va bien pour que ça marche, certaines extensions aussi.

Est-ce que le problème existe aussi en navigation privée et avec les extensions désactivées ?

C'est possible que ce soit un souci de HTTP/HTTPS. Je dis bien possible, me semble avoir vu ça une fois.

Blender sert précisément à altérer l’en-tête Référent du navigateur. Qu’il essaye en désactivant cette extension, elle est peut-être à l’origine du problème. Il est aussi possible que ce soit dû à uBlock origin, s’il a activé le mode expérimenté. Ah, et il doit accepter les cookies dans les paramètres de Firefox (mais il peut toujours refuser les cookies tiers).

Il a dit que Blender ne causait pas le problème à priori.

Les cookies ne sont pas nécessaires à l'inscription il me semble, si ?

Il me semble bien que si, pour gérer ce fameux token CSRF (de mémoire, je peux me planter).

Concernant Blender, a-t-il essayé sans ou s'est-il contenté d'un à priori ?

Il a essayé sans apparemment. Le problème étant qu'il a peut-être désactivé les extensions une par une (si ublock et blender posent problème, il ne les a peut-être pas désactivé en même temps).

Oui il est nécessaire d’activer les cookies. J’utilise l’extension uMatrix et j’ai dû le faire pour pouvoir me connecter sur le site.

Et il me semble que de manière générale, dès qu’il y a authentification il faut activer les cookies du site visité.

Effectivement c'est le cas. Plus d'informations pour ceux que ça intéresse ici : https://docs.djangoproject.com/fr/1.9/topics/http/sessions/