시스템 속성으로 인해 glide.security.csrf.strict.validation.mode 사용자가 경고를 수락할 수 없으므로 잠재적으로 악의적인 요청을 인스턴스로 보낼 수 있습니다. 이 경고는 피해자의 다른 활성 세션 중 하나에 속하는 일치하지 않는 안티-CSRF 토큰이 있어 POST 요청이 실패할 때 나타납니다. 권장 값인 예로 설정되지 않은 경우 glide.security.csrf.strict.validation.mode 공격자는 피해자에게 속한 다른 활성 세션에서 유출된 안티-CSRF 토큰을 활용하여 CSRF 공격을 공식화할 수 있습니다.

인스턴스에 대한 POST 요청에는 사용자의 현재 세션과 일치하는 "sysparm_ck" 또는 "X-UserToken" 내에 안티-CSRF 토큰이 포함되어 있습니다. 안티-CSRF 토큰이 사용자의 다른 활성 세션 중 하나에 대신 연결된 경우 POST 요청은 이 속성이 false로 설정된 경우 사용자가 사용할 수 있는 계속 버튼을 사용하여 security_interceptor.do로 302 리디렉션을 반환합니다.

이 버튼을 클릭하면 유효한 안티-CSRF 토큰이 있는 것을 제외하고 인스턴스에 요청이 다시 제출됩니다. 이 속성을 예로 설정하면 security_interceptor.do 페이지로의 302 리디렉션에 계속 버튼이 표시되지 않으며 사용자는 요청을 다시 제출할 수 없습니다.

속성 glide.security.csrf.strict.validation.mode 이 true로 설정되어 있는지 확인합니다.

추가 정보