Verhindern, dass Anwender die Warnung zur Umgehung der CSRF-Validierung akzeptieren
Reduzieren Sie das Risiko von Cross-Site Request Forgery (CSRF), indem Sie verhindern, dass Anwender eine Warnung zur Umgehung der CSRF-Validierung akzeptieren.
Aktivieren Sie die strikte Validierung von CSRF-Token, um zu verhindern, dass CSRF-Token (Cross-Site Request Forgery) wiederverwendet werden, was CSRF-Angriffe ermöglichen könnte.
Legen Sie die Systemeigenschaft „glide.security.csrf.strict.validation.mode “ auf „wahr“ fest, um die strikte Validierung des CSRF-Tokens zu aktivieren. Wenn diese Eigenschaft in der Tabelle „Systemeigenschaften“ [sys_properties] nicht vorhanden ist, ist der Standardwert ab Xanadu „true“.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Name der technischen Konfiguration | glide.security.csrf.strict.validation.mode |
| Plugin-Anwendbarkeit | Keine |
| Sicherheitsrisiko | Die Site-übergreifende Anforderungsfälschung stellt ein erhebliches Sicherheitsrisiko dar, das die Integrität der Instanzdaten verletzt. Ein Angreifer kann den CSRF-Angriff auf jeden Instanzbenutzer starten, indem er das Vertrauen des Instanzbenutzers missbraucht. Mithilfe von Social Engineering-Angriffen kann ein Benutzer im Namen des Angreifers eine fehlerhafte Anforderung an die Instanz senden. |
| Punktzahl des Common Vulnerability Bewertungssystems (CVSS). | 3.7 |
| Bewertung des Common Vulnerability Scorering System (CVSS). | Niedrig |
| Funktionale Auswirkung | Diese Korrektur ermöglicht einen zusätzlichen Validierungsschritt, bevor der Benutzer eine Schreibanforderung an die Instanz sendet. Prüft, ob das aktuelle CSRF-Token zuvor verwendet wurde. Wenn ja, wird die Übermittlung weiterer Schreibanforderungen verhindert. |
| Abhängigkeiten und Voraussetzungen | Keine |
| Datentyp | Boolean |
| Basissystemwert | wahr |
| Fallback-Wert | wahr |
| Empfohlener Wert | wahr |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.