CSRF 対策トークン (インスタンスセキュリティ強化)
glide.security.use_csrf_token プロパティを使用して、受信要求の識別および検証に保護トークンが使用されるようにします。このトークンは、これらの攻撃を防止するために使用されます。
クロスサイト要求偽造 (CSRF) は、エンドユーザーが現在認証されている Web アプリケーションで不要なアクションを実行するように強制する攻撃です。CSRF 攻撃は、データの盗難ではなく、ステータス変更の要求を明確にターゲットにしています。これは、攻撃者に偽造要求に対する応答を確認する方法がないからです。
次のプロパティを有効にすると、CSRF トークンを制御できます。
- glide.security.csrf_previous.time_limit
- glide.security.csrf_previous.allow
- glide.security.csrf.strict.validation.mode
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.security.use_csrf_token |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| Instance Security Center での構成 | あり |
| 目的 | CSRF 攻撃の可能性からアプリケーションを保護すること |
| 推奨値 | true |
| 機能への影響度 | (低) この修正により、インスタンスユーザーがインスタンスへの書き込み要求を送信する前に、追加の検証手順が有効になります。すべての書き込み要求には、CSRF トークン (つまりユーザーセッションに関連付けられた検証/CSRF ID) が含まれています。ユーザーセッションが期限切れになると、セキュアトークンも期限切れになります。 |
| セキュリティリスク | (高) クロスサイト要求偽造は、インスタンスデータの完全性を侵害する重大なセキュリティリスクです。攻撃者は、インスタンスユーザーの信頼を悪用して CSRF 攻撃を開始することができます。ソーシャルエンジニアリング攻撃を利用して、ユーザーがインスタンスで攻撃者の代わりに誤った要求を送信する可能性があります。 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。