Bloquer les jetons CSRF expirés [Mise à jour dans Security Center 1.5]
Bloquez les jetons CSRF expirés pour éviter les attaques de contrefaçon de requête intersite.
Vue d'ensemble
Les falsifications de requêtes intersites sont un type d’exploitation malveillante par lequel des commandes non autorisées sont exécutées pour le compte d’un utilisateur authentifié.
Détails de la configuration
| Attribut | Description |
|---|---|
| Vue d'ensemble | Contrôle l’utilisation d’un jeton de sécurité expiré pour identifier et valider les demandes entrantes. Définissez la valeur sur faux pour empêcher un jeton expiré précédemment de valider une demande entrante. |
| Nom de la configuration | glide.security.csrf_previous.allow |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Type de données | booléen |
| Valeur recommandée | false |
| Valeur par défaut | true |
| Catégorie | Contrôle d'accès |
| Risque de sécurité | Score de gravité : 6,5 |
| Évaluation de la gravité par score CVSS : moyenne | |
| Détails du risque de sécurité : applique un mécanisme anti-CSRF fort pour protéger les fonctionnalités authentifiées, et un mécanisme anti-automatisation ou anti-CSRF efficace protège les fonctionnalités non authentifiées. | |
Dépendances et prérequis |
Aucun |
| Références | Activer le jeton anti-CSRF [supprimé dans Security Center 1.5], falsification de requête intersites. |