Impor validação estrita do token CSRF
Use a propriedade glide.security.csrf.strict.validation.mode para habilitar a validação estrita do token CSRF. Se o token CSRF não corresponder, impedirá o reenvio da solicitação.
A propriedade glide.security.csrf.strict.validation.mode habilita a validação estrita do token CSRF, o que evita a reutilização de tokens CSRF. Se esta propriedade não estiver definida com o valor recomendado verdadeiro, os tokens CSRF poderão ser reutilizados, o que abre uma porta para ataques de CSRF.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.security.csrf.strict.validation.mode |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Controle de acesso |
| Finalidade | Impor a validação estrita do token CSRF e impedir sua reutilização. |
| Valor recomendado | verdadeiro |
| Classificação de risco de segurança | (Médio) A falsificação de solicitação de site cruzado é um risco de segurança significativo que viola a integridade dos dados da instância. Um invasor pode iniciar o ataque de CSRF em qualquer usuário da instância abusando da confiança do usuário da instância. Com a ajuda de ataques de engenharia social, um usuário pode enviar uma solicitação malformada à instância em nome do invasor. |
| Impacto funcional | (Médio) Esta correção permite uma etapa de validação extra antes que o usuário da instância envie uma solicitação de gravação para a instância. Ela verifica se o token CSRF atual foi usado anteriormente. Se sim, impede o envio de outras solicitações de gravação. |
| Risco à segurança | (Médio) A falsificação de solicitação de site cruzado é um risco de segurança significativo que viola a integridade dos dados da instância. Um invasor pode iniciar o ataque de CSRF em qualquer usuário da instância abusando da confiança do usuário da instância. Com a ajuda de ataques de engenharia social, um usuário pode enviar uma solicitação malformada à instância em nome do invasor. |
Retorne para Configure e carregue a chave fornecida pelo cliente para carregar sua chave encapsulada.