glide.security.csrf.strict.validation.modeシステムプロパティは、ユーザーが警告を受け入れることができないようにします。これにより、悪意のある可能性がある要求がインスタンスに送信される可能性があります。この警告は、被害者の他のいずれかのアクティブなセッションに属する anti-CSRF トークンが一致しないために POST 要求が失敗した場合に表示されます。glide.security.csrf.strict.validation.mode が推奨値の true に設定されていない場合、攻撃者は、被害者に属する別のアクティブなセッションから漏洩した CSRF トークンを利用して CSRF 攻撃を策定できます。

インスタンスへの POST 要求には、ユーザーの現在のセッションに一致する「sysparm_ck」または「X-UserToken」内に CSRF 対策トークンが含まれています。代わりに、anti-CSRF トークンがユーザーの他のいずれかのアクティブなセッションに関連付けられている場合、このプロパティが false に設定されている場合、POST 要求は security_interceptor.do への 302 リダイレクトを返し、ユーザーが使用できる [続行] ボタンを返します。

このボタンをクリックすると、インスタンスに要求が再送信されますが、有効な CSRF 対策トークンを持つようになります。このプロパティが true に設定されている場合、security_interceptor.do ページへの 302 リダイレクトには [ 続行 ] ボタンが表示されず、ユーザーは要求を再送信できません。

プロパティ glide.security.csrf.strict.validation.mode が true に設定されていることを確認します。

詳細情報