Bloquer les jetons anti-CSRF expirés [Mis à jour dans Centre de sécurité 1.5]
Bloquez les jetons CSRF expirés pour éviter les attaques de contrefaçon de requête de site à site.
Vue d'ensemble
Les contrefaçons de requête intersite sont un type d’exploit malveillant qui consiste à exécuter des commandes non autorisées au nom d’un utilisateur authentifié.
Détails de la configuration
| Attribut | Description |
|---|---|
| Vue d'ensemble | Contrôle l’utilisation d’un jeton de sécurité expiré pour identifier et valider les demandes entrantes. Définissez la valeur sur faux pour empêcher un jeton ayant précédemment expiré de valider une demande entrante. |
| Nom de la configuration | glide.security.csrf_previous.allow |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Type de données | booléen |
| Valeur recommandée | Faux |
| Valeur par défaut | VRAI |
| Catégorie | Contrôle d'accès |
| Risque de sécurité | Score de gravité : 6,5 |
| Évaluation de gravité par score CVSS : moyenne | |
| Détails du risque de sécurité : applique un puissant mécanisme anti-CSRF pour protéger les fonctionnalités authentifiées, et une protection anti-automatisation ou anti-CSRF efficace protège les fonctionnalités non authentifiées. | |
| Dépendances et prérequis | Aucune |
| Références | Activer le jeton anti-CSRF [nouveau dans Centre de sécurité 1.3, mis à jour dans la version 1.5 et supprimé dans la version 2.0], falsification de requête intersite. |