Empêcher les utilisateurs d’accepter l’avertissement pour contourner la validation CSRF
Réduisez le risque de contrefaçon de requête intersite (CSRF) en empêchant les utilisateurs d’accepter l’avertissement pour contourner la validation CSRF.
Activez la validation stricte des jetons CSRF pour empêcher la réutilisation des jetons de contrefaçon de requête intersite (CSRF), ce qui peut entraîner des attaques CSRF.
Définissez la valeur de propriété système glide.security.csrf.strict.validation.mode sur vrai pour activer la validation stricte du jeton CSRF. Si cette propriété n’existe pas dans votre table Propriétés système [sys_properties], la valeur par défaut est vrai à partir de Xanadu.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la configuration technique | glide.security.csrf.strict.validation.mode |
| Applicabilité du module d’extension | Aucun |
| Risque de sécurité | La contrefaçon de requête intersite constitue un risque de sécurité important qui viole l’intégrité des données d’instance. Un attaquant peut lancer l’attaque CSRF sur n’importe quel utilisateur d’instance en abusant de la confiance de l’utilisateur d’instance. À l’aide d’attaques d’ingénierie sociale, un utilisateur peut soumettre une demande mal formée à l’instance au nom de l’attaquant. |
| Score du système de notation des vulnérabilités courantes (CVSS) | 3.7 |
| Évaluation du système commun de notation des vulnérabilités (CVSS) | Faible |
| Impact fonctionnel | Cette correction active une étape de validation supplémentaire avant que l’utilisateur n’envoie une demande d’écriture à l’instance. Il vérifie si le jeton CSRF actuel a été utilisé précédemment. Si c’est le cas, cela empêche la soumission d’autres demandes d’écriture. |
| Dépendances et prérequis | Aucun |
| Type de données | Booléen |
| Valeur de système de base | vrai |
| Valeur de secours | vrai |
| Valeur recommandée | vrai |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.