Jeton anti-CSRF (renforcement de la sécurité de l’instance)
Utilisez cette glide.security.use_csrf_token propriété pour garantir l’utilisation d’un jeton de sécurité pour identifier et valide les demandes entrantes, qui sont ensuite utilisées pour prévenir ces attaques.
Le Cross-Site Request Forgery (CSRF) est une attaque qui oblige un utilisateur final à exécuter des actions indésirables sur une application Web dans laquelle il est actuellement authentifié. Les attaques CSRF ciblent spécifiquement les demandes de changement d’état, et non le vol de données, car l’attaquant n’a aucun moyen de voir la réponse à la requête falsifiée.
Les propriétés suivantes peuvent être activées pour des contrôles supplémentaires sur le jeton CSRF :
- glide.security.csrf_previous.time_limit
- glide.security.csrf_previous.allow
- glide.security.csrf.strict.validation.mode
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.security.use_csrf_token |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Configurer dans le centre de sécurité de l’instance | Oui |
| Objectif | Pour protéger l’application contre une attaque CSRF potentielle. |
| Valeur recommandée | VRAI |
| Impact fonctionnel | (Faible) Cette correction active une étape de validation supplémentaire avant que l’utilisateur d’instance n’envoie une demande d’écriture à l’instance. Chaque demande d’écriture contient un jeton CSRF (c’est-à-dire un ID de validation/CSRF lié à la session utilisateur). Lorsque la session utilisateur expire, le jeton de sécurité expire avec elle. |
| Risque de sécurité | (Élevé) La falsification des requêtes intersites constitue un risque de sécurité important qui compromet l’intégrité des données de l’instance. Un attaquant peut lancer l’attaque CSRF en abusant de la confiance d’un utilisateur d’instance. À l’aide d’attaques d’ingénierie sociale, un utilisateur peut soumettre une requête mal formée au nom de l’attaquant sur l’instance. |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à Add a system property.