Abgelaufene Anti-CSRF-Token blockieren [in Security Center 1.5 aktualisiert]
Blockieren Sie abgelaufene CSRF-Token, um Site-übergreifende Angriffe durch gefälschte Anforderungen zu verhindern.
Übersicht
Site-übergreifende Anforderungsfälschungen sind eine Art von böswilligem Exploit, bei der nicht autorisierte Befehle im Namen eines authentifizierten Anwenders ausgeführt werden.
Konfigurationsdetails
| Attribut | Beschreibung |
|---|---|
| Übersicht | Steuert die Verwendung eines abgelaufenen sicheren Tokens zum Identifizieren und Validieren eingehender Anforderungen. Legen Sie den Wert auf „ falsch “ fest, um zu verhindern, dass ein zuvor abgelaufenes Token zum Validieren einer eingehenden Anforderung verwendet wird. |
| Konfigurationsname | glide.security.csrf_previous.allow |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Datentyp | boolean |
| Empfohlener Wert | false |
| Standardwert | true |
| Kategorie | Zugriffssteuerung |
| Sicherheitsrisiko | Schweregrad-Punktzahl: 6,5 |
| Schweregradbewertung pro CVSS-Punktzahl: Mittel | |
| Details zum Sicherheitsrisiko: Erzwingt einen sicheren Anti-CSRF-Mechanismus zum Schutz authentifizierter Funktionen, und eine effektive Anti-Automatisierungs- oder Anti-CSRF-Mechanismen schützt nicht authentifizierte Funktionen. | |
| Abhängigkeiten und Voraussetzungen | Keine |
| Referenzen | Anti-CSRF-Token aktivieren [Neu in Security Center 1.3 und entfernt in 1.5], websiteübergreifende Anforderungsfälschung. |