Anti-CSRF トークンを有効にする (Security Center 1.3 の新機能、1.5 で更新、2.0 で削除)
glide.security.use_csrf_token プロパティを使用して、受信要求の識別および検証に保護トークンが使用されるようにします。このトークンは、これらの攻撃を防止するために使用されます。
Cross-Site Request Forgery (CSRF) は、認証されたユーザーに、現在認証されている Web アプリケーションに要求を送信するように強制する攻撃です。CSRF 攻撃は、認証されたユーザーに対する Web アプリケーションの信頼を悪用します。このプロパティを使用すると、セキュアトークンを使用して受信要求を識別して検証できます。このトークンはクロスサイトリクエストフォージェリ攻撃を防ぐために使用されます。glide.security.use_csrf_token が推奨値の true に設定されていない場合は、CSRF が可能です。
詳細情報
| 属性 | 説明 |
| プロパティ名 | glide.security.use_csrf_token |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | アクセス制御 |
| 目的 | CSRF 攻撃の可能性からアプリケーションを保護すること |
| セキュリティリスク評価 | 8.1 |
| 推奨値 | true |
| デフォルト値 | true |
| 機能への影響 | この修正により、インスタンスユーザーがインスタンスへの書き込み要求を送信する前に、追加の検証手順が有効になります。すべての書き込み要求には、CSRF トークン (つまりユーザーセッションに関連付けられた検証/CSRF ID) が含まれています。ユーザーセッションが期限切れになると、セキュアトークンも期限切れになります。 |
| セキュリティリスク | (高) クロスサイト要求偽造は、インスタンスデータの完全性を侵害する重大なセキュリティリスクです。攻撃者は、インスタンスユーザーの信頼を悪用して CSRF 攻撃を開始することができます。ソーシャルエンジニアリング攻撃を利用して、ユーザーがインスタンスで攻撃者の代わりに誤った要求を送信する可能性があります。 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。