Activer le jeton anti-CSRF [nouveau dans Centre de sécurité 1.3, mis à jour dans la version 1.5 et supprimé dans la version 2.0]

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Utilisez la propriété pour garantir l’utilisation glide.security.use_csrf_token d’un jeton de sécurité pour identifier et valider les demandes entrantes, qui à leur tour sont utilisées pour prévenir ces attaques.

    La contrefaçon de requête intersite (CSRF) est une attaque qui force les utilisateurs authentifiés à soumettre une demande à une application Web auprès de laquelle ils sont actuellement authentifiés. Les attaques CSRF exploitent la confiance qu’une application Web accorde à un utilisateur authentifié. Cette propriété active l’utilisation d’un jeton de sécurité pour identifier et valider les demandes entrantes. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête de site à site. Si glide.security.use_csrf_token la valeur recommandée n’est pas définie sur true, CSRF est possible.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.security.use_csrf_token
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Contrôle d'accès
    Objectif Pour protéger l’application contre une attaque CSRF potentielle.
    Cote de risque de sécurité 8.1
    Valeur recommandée VRAI
    Valeur par défaut VRAI
    Impact fonctionnel Cette correction active une étape de validation supplémentaire avant que l’utilisateur d’instance n’envoie une demande d’écriture à l’instance. Chaque demande d’écriture contient un jeton CSRF (c’est-à-dire un ID de validation/CSRF lié à la session utilisateur). Lorsque la session utilisateur expire, le jeton de sécurité expire avec elle.
    Risque de sécurité (Élevé) La contrefaçon de requête intersite constitue un risque de sécurité important qui viole l’intégrité des données d’instance. Un attaquant peut lancer l’attaque CSRF en abusant de la confiance d’un utilisateur d’instance. À l’aide d’attaques d’ingénierie sociale, un utilisateur peut soumettre une requête mal formée au nom de l’attaquant sur l’instance.

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.