Appliquer la validation stricte du jeton CSRF [Mise à jour dans Security Center 1.5]

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Utilisez cette propriété pour activer la glide.security.csrf.strict.validation.mode validation stricte du jeton CSRF. Si le jeton CSRF ne correspond pas, une nouvelle soumission de la demande est impossible.

    La glide.security.csrf.strict.validation.mode propriété active la validation stricte du jeton CSRF qui empêche la réutilisation des jetons CSRF. Si cette propriété n’est pas définie sur la valeur recommandée, vrai, les jetons CSRF peuvent être réutilisés, ce qui ouvre la porte aux attaques CSRF.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.security.csrf.strict.validation.mode
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Contrôle d'accès
    Objectif Pour appliquer une validation stricte du jeton CSRF et empêcher sa réutilisation.
    Valeur recommandée VRAI
    Valeur par défaut VRAI
    Cote de risque de sécurité (Moyen) La falsification de requête intersite constitue un risque de sécurité important qui viole l’intégrité des données d’instance. Un attaquant peut lancer l’attaque CSRF sur n’importe quel utilisateur de l’instance en abusant de la confiance de l’utilisateur de l’instance. À l’aide d’attaques d’ingénierie sociale, un utilisateur peut soumettre une demande mal formée à l’instance au nom de l’attaquant.
    Impact fonctionnel (Moyen) Cette correction active une étape de validation supplémentaire avant que l’utilisateur d’instance n’envoie une demande d’écriture à l’instance. Vérifie si le jeton CSRF actuel a été utilisé précédemment. Si oui, cela empêche la soumission d’autres demandes d’écriture.
    Risque de sécurité (Moyen) La falsification de requête intersite constitue un risque de sécurité important qui viole l’intégrité des données d’instance. Un attaquant peut lancer l’attaque CSRF sur n’importe quel utilisateur de l’instance en abusant de la confiance de l’utilisateur de l’instance. À l’aide d’attaques d’ingénierie sociale, un utilisateur peut soumettre une demande mal formée à l’instance au nom de l’attaquant.

    Revenez à Configurer et charger votre clé fournie par le client pour charger votre clé emballée.