Token anti-CSRF (proteção de segurança da instância)
Use a propriedade glide.security.use_csrf_token para garantir a utilização de um token seguro a fim de identificar e validar solicitações de entrada, que são usadas para impedir ataques.
A falsificação de solicitação entre sites (CSRF) é um ataque que força um usuário final a executar ações indesejadas em uma aplicação da web na qual ele está autenticado no momento. Os ataques de CSRF visam especificamente as solicitações de mudança de estado, não o roubo de dados, já que o invasor não tem como ver a resposta à solicitação forjada.
Nota:
Por padrão, o. glide.security.use_csrf_tokena propriedade está definida como verdadeiro Para instância zBoot.
As seguintes propriedades podem ser habilitadas para controles adicionados sobre o token CSRF:
- glide.security.csrf_previous.time_limit
- glide.security.csrf_previous.allow
- glide.security.csrf.strict.validation.mode
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.security.use_csrf_token |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Configurar na Central de segurança da instância | Sim |
| Finalidade | Proteger a aplicação de um possível ataque de CSRF. |
| Valor recomendado | verdadeiro |
| Impacto funcional | (Baixo) Essa correção habilita uma etapa de validação extra antes que o usuário da instância envie uma solicitação de gravação para a instância. Cada solicitação de gravação contém um token CSRF (um ID de validação/CSRF vinculado à sessão do usuário). Quando a sessão do usuário expira, o token de segurança expira também. |
| Risco à segurança | (Alto) A falsificação de solicitação de site cruzado é um risco de segurança significativo que viola a integridade dos dados da instância. Um invasor pode iniciar o ataque de CSRF abusando da confiança de um usuário da instância. Com a ajuda de ataques de engenharia social, um usuário pode enviar uma solicitação malformada em nome do invasor na instância. |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.