Habilitação do token anti-CSRF [Novo na Central de segurança 1.3, atualizado na Central de segurança 1.5 e removido da Central de segurança 2.0]

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Use a propriedade glide.security.use_csrf_token para garantir a utilização de um token seguro a fim de identificar e validar solicitações de entrada, que são usadas para impedir ataques.

    A CSRF (falsificação de solicitação entre sites) é um ataque que força usuários autenticados em uma aplicação Web a enviar uma solicitação a ela. Os ataques de CSRF se aproveitam da confiança que uma aplicação Web tem em um usuário autenticado. Esta propriedade permite o uso de um token seguro para identificar e validar solicitações de entrada. Esse token é usado para impedir ataques de falsificação de solicitação entre sites. Se glide.security.use_csrf_token não estiver definida com o valor True recomendado, será possível realizar CSRF.

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.security.use_csrf_token
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Categoria Controle de acesso
    Finalidade Proteger a aplicação de um possível ataque de CSRF.
    Classificação de risco de segurança 8,1
    Valor recomendado verdadeiro
    Valor-padrão verdadeiro
    Impacto funcional Esta correção permite uma etapa de validação extra antes que o usuário da instância envie uma solicitação de gravação a ela. Cada solicitação de gravação contém um token CSRF (um ID de validação/CSRF vinculado à sessão do usuário). Quando a sessão do usuário expira, o token de segurança expira também.
    Risco à segurança (Alto) A falsificação de solicitação de site cruzado é um risco de segurança significativo que viola a integridade dos dados da instância. Um invasor pode iniciar o ataque de CSRF abusando da confiança de um usuário da instância. Com a ajuda de ataques de engenharia social, um usuário pode enviar uma solicitação malformada em nome do invasor na instância.

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.