안티-CSRF 토큰 사용[Security Center 1.3의 새로운 기능, 1.5에서 업데이트, 2.0에서 제거됨]
이 glide.security.use_csrf_token 속성을 사용하여 보안 토큰을 사용하여 들어오는 요청을 식별하고 유효성을 검사하며, 이는 이러한 공격을 방지하는 데 사용됩니다.
CSRF(교차 사이트 요청 위조)는 인증된 사용자가 현재 인증된 웹 응용 프로그램에 요청을 제출하도록 강제하는 공격입니다. CSRF 공격은 웹 응용 프로그램이 인증된 사용자에 대해 가지고 있는 신뢰를 악용합니다. 이 속성을 사용하면 보안 토큰 사용을 식별하고 수신 요청을 확인할 수 있습니다. 이 토큰은 교차 사이트 요청 위조 공격을 방지하는 데 사용됩니다. glide.security.use_csrf_token 권장 값인 true로 설정되지 않은 경우 CSRF를 사용할 수 있습니다.
추가 정보
| 속성 | 설명 |
| 속성 이름 | glide.security.use_csrf_token |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 접근 통제 |
| 목적 | 잠재적인 CSRF 공격으로부터 애플리케이션을 보호합니다. |
| 보안 위험 등급 | 8.1 |
| 권장 값 | 예 |
| 기본값 | 예 |
| 기능적 영향 | 이렇게 정정하면 인스턴스 사용자가 인스턴스에 쓰기 요청을 제출하기 전에 추가 확인 단계가 활성화됩니다. 모든 쓰기 요청에는 CSRF 토큰(즉, 사용자 세션에 연결된 유효성 검사/CSRF ID)이 포함됩니다. 사용자 세션이 만료되면 보안 토큰도 함께 만료됩니다. |
| 보안 위험 | (높음) 교차 사이트 요청 위조는 인스턴스 데이터의 무결성을 침해하는 중요한 보안 위험입니다. 공격자는 인스턴스 사용자의 신뢰를 악용하여 CSRF 공격을 시작할 수 있습니다. 소셜 엔지니어링 공격을 통해 사용자는 인스턴스에서 공격자를 대신하여 잘못된 형식의 요청을 제출할 수 있습니다. |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 문서를 참조하십시오 Add a system property.