Bloquer les jetons anti-CSRF expirés [Mis à jour dans Centre de sécurité 1.5]
Bloquez les jetons CSRF expirés pour éviter les attaques de contrefaçon de requête intersite.
Vue d'ensemble
Les contrefaçons de requêtes intersites sont un type d’exploit malveillant par lequel des commandes non autorisées sont exécutées au nom d’un utilisateur authentifié.
Détails de la configuration
| Attribut | Description |
|---|---|
| Vue d'ensemble | Contrôle l’utilisation d’un jeton de sécurité expiré pour identifier et valider les demandes entrantes. Définissez la valeur sur faux pour empêcher un jeton ayant précédemment expiré de valider une demande entrante. |
| Nom de la configuration | glide.security.csrf_previous.allow |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Type de données | Booléen |
| Valeur recommandée | false |
| Valeur par défaut | true |
| Catégorie | Contrôle d'accès |
| Risque de sécurité | Score de gravité : 6,5 |
| Évaluation de gravité par score CVSS : moyenne | |
| Détails du risque de sécurité : applique un mécanisme anti-CSRF puissant pour protéger les fonctionnalités authentifiées, et une protection anti-automatisation ou anti-CSRF efficace protège les fonctionnalités non authentifiées. | |
| Dépendances et prérequis | Aucun |
| Références | Activer le jeton anti-CSRF [nouveau dans Security Center 1.3, mis à jour dans la version 1.5 et supprimé dans la version 2.0], contrefaçon de requête intersite. |