Anti-CSRF-Token aktivieren [Neu in Security Center 1.3, aktualisiert in 1.5 und entfernt in 2.0]

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.security.use_csrf_token, um sicherzustellen, dass ein sicheres Token zum Identifizieren und Validieren eingehender Anforderungen verwendet wird, die wiederum zum Verhindern dieser Angriffe verwendet werden.

    Cross-Site Request Forgery (CSRF) ist ein Angriff, der authentifizierte Benutzer dazu zwingt, eine Anforderung an eine Webanwendung zu senden, für die sie derzeit authentifiziert sind. CSRF-Angriffe nutzen das Vertrauen einer Webanwendung in einen authentifizierten Anwender aus. Diese Eigenschaft ermöglicht die Verwendung eines sicheren Tokens zum Identifizieren und Validieren eingehender Anforderungen. Dieses Token wird verwendet, um Site-übergreifende Angriffe durch gefälschte Anforderungen zu verhindern. Wenn glide.security.use_csrf_token nicht auf den empfohlenen Wert „true“ festgelegt ist, ist CSRF möglich.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.security.use_csrf_token
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Zugriffssteuerung
    Zweck Zum Schutz der Anwendung vor potenziellen CSRF-Angriffen.
    Sicherheitsrisikobewertung 8.1
    Empfohlener Wert wahr
    Standardwert wahr
    Funktionale Auswirkung Diese Korrektur ermöglicht einen zusätzlichen Validierungsschritt, bevor der Instanzanwender eine Schreibanforderung an die Instanz sendet. Jede Schreibanforderung enthält ein CSRF-Token (also eine Validierungs-/CSRF-ID, die an die Benutzersitzung gebunden ist). Wenn die Benutzersitzung abläuft, läuft auch das sichere Token ab.
    Sicherheitsrisiko (Hoch) Cross Site Request Forgery stellt ein erhebliches Sicherheitsrisiko dar, das die Integrität der Instanzdaten verletzt. Ein Angreifer kann den CSRF-Angriff starten, indem er das Vertrauen eines Instanzbenutzers missbraucht. Mithilfe von Social Engineering-Angriffen kann ein Benutzer im Namen des Angreifers in der Instanz eine fehlerhafte Anforderung senden.

    Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.