Anti-CSRF-Token (Härtung der Instanzsicherheit)
Verwenden Sie die Eigenschaft glide.security.use_csrf_token, um sicherzustellen, dass ein sicheres Token zum Identifizieren und Validieren eingehender Anforderungen verwendet wird, die wiederum zum Verhindern dieser Angriffe verwendet werden.
Cross-Site Request Forgery (CSRF) ist ein Angriff, der einen Endanwender dazu zwingt, unerwünschte Aktionen in einer Webanwendung auszuführen, in der er sich derzeit authentifiziert hat. CSRF-Angriffe zielen speziell auf Anforderungen zur Statusänderung ab, nicht auf den Diebstahl von Daten, da der Angreifer keine Möglichkeit hat, die Antwort auf die gefälschte Anforderung zu sehen.
Die folgenden Eigenschaften können für hinzugefügte Steuerungen für das CSRF-Token aktiviert werden:
- glide.security.csrf_previous.time_limit
- glide.security.csrf_previous.allow
- glide.security.csrf.strict.validation.mode
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.security.use_csrf_token |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Zum Schutz der Anwendung vor potenziellen CSRF-Angriffen. |
| Empfohlener Wert | wahr |
| Funktionale Auswirkung | (Niedrig) Diese Korrektur ermöglicht einen zusätzlichen Validierungsschritt, bevor der Instanzanwender eine Schreibanforderung an die Instanz sendet. Jede Schreibanforderung enthält ein CSRF-Token (also eine Validierungs-/CSRF-ID, die an die Benutzersitzung gebunden ist). Wenn die Benutzersitzung abläuft, läuft auch das sichere Token ab. |
| Sicherheitsrisiko | (Hoch) Cross Site Request Forgery stellt ein erhebliches Sicherheitsrisiko dar, das die Integrität der Instanzdaten verletzt. Ein Angreifer kann den CSRF-Angriff starten, indem er das Vertrauen eines Instanzbenutzers missbraucht. Mithilfe von Social Engineering-Angriffen kann ein Benutzer im Namen des Angreifers in der Instanz eine fehlerhafte Anforderung senden. |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.