Anti-CSRF-Token aktivieren [Neu in Security Center 1,3, aktualisiert 1,5 und entfernt 2,0]

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Verwenden Sie glide.security.use_csrf_tokenEigenschaft, die die Verwendung eines sicheren Tokens zur Identifizierung und Validierung eingehender Anforderungen sicherstellt, die wiederum zur Verhinderung dieser Angriffe verwendet werden.

    Cross-Site Request Forgery (CSRF) ist ein Angriff, der authentifizierte Anwender zwingt, eine Anforderung an eine Webanwendung zu übermitteln, für die sie derzeit authentifiziert sind. CSRF-Angriffe nutzen das Vertrauen einer Webanwendung in einen authentifizierten Anwender aus.diese Eigenschaft ermöglicht die Verwendung eines sicheren Tokens zur Identifizierung und Validierung eingehender Anforderungen. Dieses Token wird verwendet, um Site-übergreifende Angriffe auf Anforderungsfälschung zu verhindern. Wenn glide.security.use_csrf_token Ist nicht auf den empfohlenen Wert „wahr“ festgelegt, ist CSRF möglich.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.security.use_csrf_token
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Zugriffssteuerung
    Zweck Zum Schutz der Anwendung vor potenziellen CSRF-Angriffen.
    Sicherheitsrisikobewertung 8.1
    Empfohlener Wert wahr
    Standardwert wahr
    Funktionale Auswirkung Diese Korrektur ermöglicht einen zusätzlichen Validierungsschritt, bevor der Instanzanwender eine Schreibanforderung an die Instanz sendet. Jede Schreibanforderung enthält ein CSRF-Token (d. h. eine Validierungs-/CSRF-ID, die an die Anwendersitzung gebunden ist). Wenn die Anwendersitzung abläuft, läuft das sichere Token damit ab.
    Sicherheitsrisiko (Hoch) Cross Site Request Forgery ist ein erhebliches Sicherheitsrisiko, das die Integrität der Instanzdaten verletzt. Ein Angreifer kann den CSRF-Angriff starten, indem er das Vertrauen eines Instanzanwenders missbraucht. Mit Hilfe von Social Engineering-Angriffen kann ein Anwender im Namen des Angreifers eine fehlerhafte Anforderung in der Instanz übermitteln.

    Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.