OAuth ステータスパラメーター検証の適用
glide.oauth.state.parameter.requiredプロパティを設定して、インスタンスに対するクロスサイトリクエストフォージェリ (CSRF) 攻撃を防ぎます。
glide.oauth.state.parameter.requiredシステムプロパティを使用すると、認証コードフローの OAuth 要求でステータスパラメーターを要求できます。Madrid リリース以降、システムプロパティ glide.oauth.state.parameter.required は OAuth 要求の ステータス パラメーターを追加します。zboot インスタンスの場合、このプロパティは true です。アップグレードされたインスタンスの場合、このプロパティは存在しないため、 ステータス パラメーターは有効になりません。ステータスパラメーターは文字列値であり、特殊文字を含めることはできません。ステータスパラメーターを空または " " にすることはできません。ステータスパラメーターを true に設定しないと、攻撃者は認証中に CSRF 攻撃を実行できず、攻撃者は被害者として操作を実行する可能性があります。
プロパティ glide.oauth.state.parameter.required が true に設定されていることを確認します。
詳細情報
| 属性 | 説明 |
|---|---|
| 構成名 | glide.oauth.state.parameter.required |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ | ブーリアン |
| 推奨値 | true |
| デフォルト値 | <なし> |
| フォールバック値 | false |
| カテゴリ | アクセス制御 |
| セキュリティリスク |
|
| 機能への影響 | なし |
| 依存関係と前提条件 | なし |