Strikte Validierung des CSRF-Tokens erzwingen [Aktualisiert in Security Center 1.5]

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.security.csrf.strict.validation.mode, um die strikte Validierung des CSRF-Tokens zu aktivieren. Wenn das CSRF-Token nicht übereinstimmt, wird die erneute Übermittlung der Anforderung verhindert.

    Die Eigenschaft glide.security.csrf.strict.validation.mode aktiviert die strikte Validierung des CSRF-Tokens, die die Wiederverwendung von CSRF-Token verhindert. Wenn diese Eigenschaft nicht auf den empfohlenen Wert „true“ festgelegt ist, können CSRF-Token wiederverwendet werden, was CSRF-Angriffen Tür und Tor öffnet.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.security.csrf.strict.validation.mode
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Zugriffssteuerung
    Zweck Erzwingt die strikte Validierung des CSRF-Tokens und verhindert dessen Wiederverwendung.
    Empfohlener Wert Wahr
    Standardwert Wahr
    Sicherheitsrisikobewertung (Mittel) Cross Site Request Forgery stellt ein erhebliches Sicherheitsrisiko dar, das die Integrität der Instanzdaten verletzt. Ein Angreifer kann den CSRF-Angriff auf jeden Instanzbenutzer starten, indem er das Vertrauen des Instanzbenutzers missbraucht. Mithilfe von Social Engineering-Angriffen kann ein Benutzer im Namen des Angreifers eine falsch formatierte Anforderung an die Instanz senden.
    Funktionale Auswirkung (Mittel) Diese Fehlerkorrektur ermöglicht einen zusätzlichen Validierungsschritt, bevor der Instanzbenutzer eine Schreibanforderung an die Instanz sendet. Es wird überprüft, ob das aktuelle CSRF-Token zuvor verwendet wurde. Wenn Ja, wird die Übermittlung weiterer Schreibanforderungen verhindert.
    Sicherheitsrisiko (Mittel) Cross Site Request Forgery stellt ein erhebliches Sicherheitsrisiko dar, das die Integrität der Instanzdaten verletzt. Ein Angreifer kann den CSRF-Angriff auf jeden Instanzbenutzer starten, indem er das Vertrauen des Instanzbenutzers missbraucht. Mithilfe von Social Engineering-Angriffen kann ein Benutzer im Namen des Angreifers eine falsch formatierte Anforderung an die Instanz senden.

    Kehren Sie zu Konfigurieren Sie den vom Kunden bereitgestellten Schlüssel, und laden Sie ihn hoch zurück, um Ihren umschlossenen Schlüssel hochzuladen.