Protection CSRF Magento 2

Vous avez forcément déjà vu cette erreur en admin Magento : « Invalid Form Key. Please refresh the page. » C'est la protection CSRF qui fait son job. La question, c'est : fait-elle assez bien son job sur votre boutique ?

CSRF, le risque concret

Une attaque CSRF (Cross-Site Request Forgery) permet à un site malveillant de faire exécuter une action par votre navigateur sur un site où vous êtes authentifié. Scénario : vous êtes connecté à l'admin Magento, vous ouvrez un lien dans un email, et ce lien soumet silencieusement un formulaire qui change un mot de passe ou désactive un module. Sans protection CSRF, Magento exécute l'action.

Comment Magento 2 se protège (et là où ça coince)

Magento 2 utilise des form keys : un jeton unique par session, injecté dans chaque formulaire et vérifié à chaque soumission POST. Le problème : cette protection est inégale.

  • Les formulaires admin sont bien protégés (form key obligatoire)
  • Certains endpoints AJAX passent à travers (pas de vérification systématique)
  • Les APIs REST utilisent l'auth token — mais un token volé reste exploitable
  • Les modules tiers oublient parfois d'implémenter la vérification

3 vérifications à faire sur votre Magento

  1. Tous vos formulaires POST ont une form key : inspectez le HTML de vos pages customs, popups newsletter, formulaires de contact. S'il y a un <input name="form_key">, c'est bon.
  2. Vos contrôleurs admin vérifient la form key : si vous avez des modules customs avec des actions POST, le contrôleur doit étendre \Magento\Backend\App\Action.
  3. Vos endpoints REST sont en HTTPS strict : les tokens d'auth Magento ne doivent jamais transiter en clair.

Au-delà de CSRF : la sécurité Magento 2 en 2026

CSRF n'est qu'une pièce du puzzle. Les menaces réelles sur Magento aujourd'hui : vol de session admin, injections SQL via des queries GraphQL mal configurées, modules abandonnés avec des vulnérabilités connues. La première ligne de défense reste un Magento à jour — avec des modules activement maintenus. Testez nos modules sur la démo.