La glide.security.csrf.strict.validation.mode propriété système empêche les utilisateurs d’accepter un avertissement, ce qui permet d’envoyer une demande potentiellement malveillante à l’instance. Cet avertissement s’affiche lorsqu’une requête POST échoue en raison d’un jeton anti-CSRF non correspondant appartenant à l’une des autres sessions actives de la victime. S’il glide.security.csrf.strict.validation.mode n’est pas défini sur la valeur recommandée true, un attaquant peut formuler une attaque CSRF à l’aide d’un jeton anti-CSRF divulgué d’une autre session active appartenant à la victime.

Une demande POST à une instance contient un jeton anti-CSRF dans « sysparm_ck » ou « X-UserToken » qui correspond à la session actuelle de l’utilisateur. Si le jeton anti-CSRF est plutôt lié à l’une des autres sessions actives de l’utilisateur, la demande POST renvoie une redirection 302 vers security_interceptor.do avec un bouton Continuer disponible pour l’utilisateur lorsque cette propriété est définie sur faux.

Un clic sur ce bouton soumet à nouveau la demande à l’instance, sauf qu’elle dispose désormais d’un jeton anti-CSRF valide. Lorsque cette propriété est définie sur vrai, la redirection 302 vers la page security_interceptor.do n’affiche pas de bouton Continuer et l’utilisateur n’est pas autorisé à soumettre à nouveau la demande.

Assurez-vous que la propriété glide.security.csrf.strict.validation.mode est définie sur true.

En savoir plus