Habilitar token anti-CSRF [Novo na Central de segurança 1,3, atualizado em 1,5 e removido em 2,0]

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Use a propriedade glide.security.use_csrf_token para garantir o uso de um token seguro para identificar e validar solicitações de entrada, que por sua vez são usadas para impedir esses ataques.

    CSRF (Cross-Site Request Forgery, falsificação de solicitação entre sites) é um ataque que força os usuários autenticados a enviar uma solicitação para uma aplicação da Web contra a qual eles estão autenticados no momento. Os ataques CSRF exploram a confiança que uma aplicação da Web tem em um usuário autenticado.Esta propriedade permite o uso de um token seguro para identificar e validar solicitações de entrada. Esse token é usado para impedir ataques de falsificação de solicitação entre sites. Se glide.security.use_csrf_token Não está definido com o valor recomendado de verdadeiro, então CSRF é possível.

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.security.use_csrf_token
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Categoria Controle de acesso
    Finalidade Proteger a aplicação de um possível ataque de CSRF.
    Classificação de risco de segurança 8,1
    Valor recomendado verdadeiro
    Valor-padrão verdadeiro
    Impacto funcional Esta correção permite uma etapa de validação extra antes que o usuário da instância envie uma solicitação de gravação para a instância. Cada solicitação de gravação contém um token CSRF (ou seja, um ID de validação/CSRF vinculado à sessão do usuário). Quando a sessão do usuário expira, o token de segurança expira também.
    Risco à segurança (Alto) A falsificação de solicitação de site cruzado é um risco de segurança significativo que viola a integridade dos dados da instância. Um invasor pode iniciar o ataque de CSRF abusando da confiança de um usuário da instância. Com a ajuda de ataques de engenharia social, um usuário pode enviar uma solicitação malformada em nome do invasor na instância.

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.