Bloquer les jetons anti-CSRF expirés [mis à jour dans Security Center 1.5]
Bloquez les jetons CSRF expirés pour éviter les attaques de contrefaçon de requête de site à site.
Vue d'ensemble
Les falsifications de requêtes intersites sont un type d’exploitation malveillante par lequel des commandes non autorisées sont exécutées pour le compte d’un utilisateur authentifié.
Détails de la configuration
| Attribut | Description |
|---|---|
| Vue d'ensemble | Contrôle l’utilisation d’un jeton de sécurité expiré pour identifier et valider les demandes entrantes. Définissez la valeur sur faux pour empêcher un jeton précédemment expiré de valider une demande entrante. |
| Nom de la configuration | glide.security.csrf_previous.allow |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Type de données | booléen |
| Valeur recommandée | false |
| Valeur par défaut | true |
| Catégorie | Contrôle d'accès |
| Risque de sécurité | Score de gravité : 6,5 |
| Évaluation de gravité par score CVSS : moyenne | |
| Détails du risque de sécurité : applique un mécanisme anti-CSRF fort pour protéger les fonctionnalités authentifiées, et un mécanisme anti-automatisation ou anti-CSRF efficace protège les fonctionnalités non authentifiées. | |
| Dépendances et prérequis | Aucun |
| Références | Activer le jeton anti-CSRF [nouveau dans Security Center 1.3 et supprimé dans la version 1.5], falsification de requête intersite. |