Appliquer la validation stricte du jeton CSRF

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez la propriété pour activer la glide.security.csrf.strict.validation.mode validation stricte du jeton CSRF. Si le jeton CSRF ne correspond pas, une nouvelle soumission de la demande est impossible.

    La glide.security.csrf.strict.validation.mode propriété active la validation stricte du jeton CSRF qui empêche la réutilisation des jetons CSRF. Si cette propriété n’est pas définie sur la valeur recommandée, vrai, les jetons CSRF peuvent être réutilisés, ce qui ouvre la porte à des attaques CSRF.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.security.csrf.strict.validation.mode
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Contrôle d'accès
    Objectif Pour appliquer une validation stricte du jeton CSRF et empêcher sa réutilisation.
    Type de données booléen
    Valeur recommandée VRAI
    Valeur par défaut VRAI
    Cote de risque de sécurité (Moyen) La falsification des requêtes intersites constitue un risque de sécurité important qui porte atteinte à l’intégrité des données de l’instance. Un attaquant peut lancer l’attaque CSRF sur n’importe quel utilisateur d’instance en abusant de la confiance de l’utilisateur de l’instance. À l’aide d’attaques d’ingénierie sociale, un utilisateur peut soumettre une requête mal formée à l’instance au nom de l’attaquant.
    Impact fonctionnel (Moyen) Cette remédiation active une étape de validation supplémentaire avant que l’utilisateur d’instance n’envoie une demande d’écriture à l’instance. Il vérifie si le jeton CSRF actuel a été utilisé précédemment. Si c’est le cas, cela empêche la soumission d’autres demandes d’écriture.
    Risque de sécurité (Moyen) La falsification des requêtes intersites constitue un risque de sécurité important qui porte atteinte à l’intégrité des données de l’instance. Un attaquant peut lancer l’attaque CSRF sur n’importe quel utilisateur d’instance en abusant de la confiance de l’utilisateur de l’instance. À l’aide d’attaques d’ingénierie sociale, un utilisateur peut soumettre une requête mal formée à l’instance au nom de l’attaquant.

    Retournez à Configurer et charger votre clé fournie par le client pour charger votre clé enveloppée.