Abgelaufene Anti-CSRF-Token blockieren [in Security Center 1.5 aktualisiert]
Blockieren Sie abgelaufene CSRF-Token, um Site-übergreifende Angriffe durch gefälschte Anforderungen zu verhindern.
Übersicht
Site-übergreifende Anforderungsfälschungen sind eine Art von böswilligem Exploit, bei der nicht autorisierte Befehle im Namen eines authentifizierten Anwenders ausgeführt werden.
Konfigurationsdetails
| Attribut | Beschreibung |
|---|---|
| Übersicht | Steuert die Verwendung eines abgelaufenen sicheren Tokens zum Identifizieren und Validieren eingehender Anforderungen. Legen Sie den Wert auf „falsch“ fest, um zu verhindern, dass ein zuvor abgelaufenes Token zum Validieren einer eingehenden Anforderung verwendet wird. |
| Konfigurationsname | glide.security.csrf_previous.allow |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Datentyp | boolean |
| Empfohlener Wert | false |
| Standardwert | true |
| Kategorie | Zugriffssteuerung |
| Sicherheitsrisiko | Schweregrad-Punktzahl: 6,5 |
| Schweregradbewertung pro CVSS-Punktzahl: Mittel | |
| Details zum Sicherheitsrisiko: Erzwingt einen sicheren Anti-CSRF-Mechanismus zum Schutz authentifizierter Funktionen, und eine effektive Anti-Automatisierungs- oder Anti-CSRF-Mechanismen schützt nicht authentifizierte Funktionen. | |
| Abhängigkeiten und Voraussetzungen | Keine |
| Referenzen | Anti-CSRF-Token aktivieren [Neu in Security Center 1.3, aktualisiert in 1.5 und entfernt in 2.0], websiteübergreifende Anforderungsfälschung. |