Erzwingen Sie die strikte Validierung des CSRF-Tokens
Verwenden Sie die Eigenschaft glide.security.csrf.strict.validation.mode, um die strikte Validierung des CSRF-Tokens zu aktivieren. Wenn das CSRF-Token nicht übereinstimmt, wird die erneute Übermittlung der Anforderung verhindert.
Die Eigenschaft glide.security.csrf.strict.validation.mode aktiviert die strikte Validierung des CSRF-Tokens, die die Wiederverwendung von CSRF-Token verhindert. Wenn diese Eigenschaft nicht auf den empfohlenen Wert „wahr“ festgelegt ist, können CSRF-Token wiederverwendet werden, wodurch CSRF-Angriffe erleichtert werden.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.security.csrf.strict.validation.mode |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Zugriffssteuerung |
| Zweck | Erzwingt die strikte Validierung des CSRF-Tokens und verhindert dessen Wiederverwendung. |
| Datentyp | boolean |
| Empfohlener Wert | wahr |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | (Mittel) Websiteübergreifende Anforderungsfälschung stellt ein erhebliches Sicherheitsrisiko dar, das die Integrität der Instanzdaten verletzt. Ein Angreifer kann den CSRF-Angriff auf jeden Instanzbenutzer starten, indem er das Vertrauen des Instanzbenutzers missbraucht. Mithilfe von Social Engineering-Angriffen kann ein Benutzer im Namen des Angreifers eine fehlerhafte Anforderung an die Instanz senden. |
| Funktionale Auswirkung | (Mittel) Diese Korrektur ermöglicht einen zusätzlichen Validierungsschritt, bevor der Instanzanwender eine Schreibanforderung an die Instanz sendet. Prüft, ob das aktuelle CSRF-Token zuvor verwendet wurde. Falls „Ja“, wird die Übermittlung weiterer Schreibanforderungen verhindert. |
| Sicherheitsrisiko | (Mittel) Websiteübergreifende Anforderungsfälschung stellt ein erhebliches Sicherheitsrisiko dar, das die Integrität der Instanzdaten verletzt. Ein Angreifer kann den CSRF-Angriff auf jeden Instanzbenutzer starten, indem er das Vertrauen des Instanzbenutzers missbraucht. Mithilfe von Social Engineering-Angriffen kann ein Benutzer im Namen des Angreifers eine fehlerhafte Anforderung an die Instanz senden. |
Kehren Sie zu Konfigurieren Sie den von Ihrem Kunden bereitgestellten Schlüssel, und laden Sie ihn hoch zurück, um Ihren umschlossenen Schlüssel hochzuladen.