Less home code more F3

README.md

@@ -38,9 +38,9 @@ project/
 - **Assets statiques** — servis directement depuis `public/assets/`, laissés au serveur HTTP / reverse proxy.
 - **Upload** — `Web::receive()` avec contrôle de taille, puis validation MIME/dimensions côté modèle.
 - **Images** — normalisation des médias via `Image`, lecture/écriture via `Base::read()` / `Base::write()`.
-- **Markdown** — `Markdown::instance()->convert()` suivi d'un assainissement DOM ciblé et de la résolution des images média.
+- **Markdown** — `Markdown::instance()->convert()` suivi d'un assainissement DOM strict (liste blanche de balises, attributs et protocoles) et de la résolution locale des images média.
 - **Slugs** — `Web::instance()->slug()`.
-- **Session / CSRF** — `$f3->set('JAR', …)`, `new Session(null, 'CSRF')`, hooks `beforeRoute()` sur les contrôleurs protégés, et petit pool de jetons côté session pour éviter les collisions multi-onglets.
+- **Session / CSRF** — `$f3->set('JAR', …)`, `new Session(null, 'CSRF')` pour s'appuyer sur la génération native F3, puis persistance d'un jeton unique en session pour qu'il reste valide entre le GET du formulaire et le POST suivant ; validation centralisée via `verifyCsrf()`.
 - **ORM** — `DB\SQL\Mapper` : `paginate()`, `copyfrom()`, `cast()`, `find()`.
 - **Erreurs** — gestion personnalisée en production via `ONERROR` + fallback HTML minimal sur erreur fatale.
 
@@ -92,6 +92,10 @@ app.trusted_proxies=127.0.0.1,::1,172.16.0.0/12
 
 Seuls ces proxies sont autorisés à influencer `X-Forwarded-Proto` / `Forwarded`.
 
+### À propos du CSRF F3
+
+F3 sait générer un jeton via `new Session(null, 'CSRF')`, mais ce jeton est produit à l'instanciation de la requête. Le projet s'en sert donc comme source native F3, puis le persiste explicitement en session pour garder un jeton stable entre l'affichage d'un formulaire et sa soumission.
+
 ## Développement local
 
 ```bash