Jeton anti-CSRF (renforcement de la sécurité de l’instance)
Utilisez la propriété pour garantir l’utilisation glide.security.use_csrf_token d’un jeton de sécurité pour identifier et valider les demandes entrantes, qui à leur tour sont utilisées pour prévenir ces attaques.
La contrefaçon de requête intersite (CSRF) est une attaque qui force un utilisateur final à exécuter des actions indésirables sur une application Web dans laquelle il est actuellement authentifié. Les attaques CSRF ciblent spécifiquement les demandes de changement d’état, et non le vol de données, car l’attaquant n’a aucun moyen de voir la réponse à la demande falsifiée.
Remarque :
Par défaut, la propriété est définie sur vrai pour l’instance glide.security.use_csrf_token zboot.
Les propriétés suivantes peuvent être activées pour les contrôles ajoutés sur le jeton CSRF :
- glide.security.csrf_previous.time_limit
- glide.security.csrf_previous.allow
- glide.security.csrf.strict.validation.mode
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la propriété | glide.security.use_csrf_token |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Configurer dans le centre de sécurité de l’instance | Oui |
| Objectif | Pour protéger l’application contre une attaque CSRF potentielle. |
| Valeur recommandée | VRAI |
| Impact fonctionnel | (Faible) Cette correction active une étape de validation supplémentaire avant que l’utilisateur d’instance n’envoie une demande d’écriture à l’instance. Chaque demande d’écriture contient un jeton CSRF (c’est-à-dire un ID de validation/CSRF lié à la session utilisateur). Lorsque la session utilisateur expire, le jeton de sécurité expire avec elle. |
| Risque de sécurité | (Élevé) La contrefaçon de requête intersite constitue un risque de sécurité important qui viole l’intégrité des données d’instance. Un attaquant peut lancer l’attaque CSRF en abusant de la confiance d’un utilisateur d’instance. À l’aide d’attaques d’ingénierie sociale, un utilisateur peut soumettre une requête mal formée au nom de l’attaquant sur l’instance. |
Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.