Impedir que os usuários aceitem o aviso para ignorar a validação CSRF
Reduza o risco de falsificação de solicitação entre sites (CSRF) impedindo que os usuários aceitem o aviso para ignorar a validação CSRF.
Habilite a validação estrita de token CSRF para impedir que tokens de falsificação de solicitação entre sites (CSRF) sejam reutilizados, o que pode permitir ataques CSRF.
Defina glide.security.csrf.strict.validation.mode valor da propriedade do sistema para verdadeiro Para habilitar a validação estrita de token CSRF. Se esta propriedade não existir na tabela Propriedades do sistema [sys_properties], o valor padrão será verdadeiro A partir de Xanadu.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da configuração técnica | glide.security.csrf.strict.validation.mode |
| Aplicabilidade do plug-in | Nenhum(a) |
| Risco à segurança | A falsificação de solicitação entre sites é um risco de segurança significativo que viola a integridade dos dados da instância. Um invasor pode iniciar o ataque de CSRF em qualquer usuário da instância abusando da confiança do usuário da instância. Com a ajuda de ataques de engenharia social, um usuário pode enviar uma solicitação malformada à instância em nome do invasor. |
| Pontuação do CVSS (Common Vulnerability Score System, sistema de pontuação de vulnerabilidade comum) | 3,7 |
| Classificação do CVSS (Common Vulnerability Score System, sistema de pontuação de vulnerabilidade comum) | Baixo(a) |
| Impacto funcional | Esta correção permite uma etapa de validação extra antes que o usuário envie uma solicitação de gravação para a instância. Ela verifica se o token CSRF atual foi usado anteriormente. Se tiver, impedirá o envio de solicitações de gravação adicionais. |
| Dependências e pré-requisitos | Nenhum(a) |
| Tipo de dados | Booliano |
| Valor do sistema de base | verdadeiro |
| Valor de fallback | verdadeiro |
| Valor recomendado | verdadeiro |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.