Une attaque CSRF (Cross-Site Request Forgery) exploite la confiance d'un utilisateur authentifié pour exécuter des actions non désirées sur un site web, ce qui correspond à la bonne réponse.

Une attaque CSRF (Cross-Site Request Forgery) modifie les informations sur le site cible en exploitant l'authentification de l'utilisateur, tandis qu'une attaque XSS (Cross-Site Scripting) injecte du code malveillant sans modifier directement les données du site.

Un attaquant peut tromper une victime en lui envoyant un lien malveillant par chat ou e-mail, ce qui l'incite à exécuter une action CSRF sans s'en rendre compte. Les autres options ne sont pas des méthodes CSRF.

Les attaques CSRF ciblent généralement la méthode POST car elles exploitent des requêtes qui modifient l'état d'une application. Les requêtes GET sont souvent utilisées pour récupérer des données, ce qui les rend moins vulnérables aux attaques CSRF.

La principale mesure de protection contre les attaques CSRF est l'utilisation de jetons anti-CSRF. Ces jetons sont uniques pour chaque session et vérifient que les requêtes proviennent de l'utilisateur authentifié, empêchant ainsi les attaques.

Les failles XSS se divisent principalement en deux catégories : les XSS réfléchissantes, qui exploitent des entrées temporaires, et les XSS persistantes, qui s'installent dans la base de données. La bonne réponse est donc XSS réfléchissantes et XSS persistantes.

Une faille XSS réfléchissante se produit lorsque le code malveillant est injecté dans une URL et est exécuté par le navigateur de la victime après avoir cliqué sur ce lien. Cela permet à l'attaquant de livrer le code malveillant directement.