Erzwingen Sie die strikte Validierung des CSRF-Tokens

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.security.csrf.strict.validation.mode, um die strikte Validierung des CSRF-Tokens zu aktivieren. Wenn das CSRF-Token nicht übereinstimmt, wird die erneute Übermittlung der Anforderung verhindert.

    Die Eigenschaft glide.security.csrf.strict.validation.mode aktiviert die strikte Validierung des CSRF-Tokens, die die Wiederverwendung von CSRF-Token verhindert. Wenn diese Eigenschaft nicht auf den empfohlenen Wert „wahr“ festgelegt ist, können CSRF-Token wiederverwendet werden, wodurch CSRF-Angriffe erleichtert werden.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.security.csrf.strict.validation.mode
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Zugriffssteuerung
    Zweck Erzwingt die strikte Validierung des CSRF-Tokens und verhindert dessen Wiederverwendung.
    Datentyp boolean
    Empfohlener Wert wahr
    Standardwert wahr
    Sicherheitsrisikobewertung (Mittel) Websiteübergreifende Anforderungsfälschung stellt ein erhebliches Sicherheitsrisiko dar, das die Integrität der Instanzdaten verletzt. Ein Angreifer kann den CSRF-Angriff auf jeden Instanzbenutzer starten, indem er das Vertrauen des Instanzbenutzers missbraucht. Mithilfe von Social Engineering-Angriffen kann ein Benutzer im Namen des Angreifers eine fehlerhafte Anforderung an die Instanz senden.
    Funktionale Auswirkung (Mittel) Diese Korrektur ermöglicht einen zusätzlichen Validierungsschritt, bevor der Instanzanwender eine Schreibanforderung an die Instanz sendet. Prüft, ob das aktuelle CSRF-Token zuvor verwendet wurde. Falls „Ja“, wird die Übermittlung weiterer Schreibanforderungen verhindert.
    Sicherheitsrisiko (Mittel) Websiteübergreifende Anforderungsfälschung stellt ein erhebliches Sicherheitsrisiko dar, das die Integrität der Instanzdaten verletzt. Ein Angreifer kann den CSRF-Angriff auf jeden Instanzbenutzer starten, indem er das Vertrauen des Instanzbenutzers missbraucht. Mithilfe von Social Engineering-Angriffen kann ein Benutzer im Namen des Angreifers eine fehlerhafte Anforderung an die Instanz senden.

    Kehren Sie zu Konfigurieren Sie den von Ihrem Kunden bereitgestellten Schlüssel, und laden Sie ihn hoch zurück, um Ihren umschlossenen Schlüssel hochzuladen.