Anti-CSRF-Token (Härtung der Instanzsicherheit)
Verwenden Sie die Eigenschaft glide.security.use_csrf_token, um sicherzustellen, dass ein sicheres Token zum Identifizieren und Validieren eingehender Anforderungen verwendet wird, die wiederum zur Verhinderung dieser Angriffe verwendet werden.
Cross-Site Request Forgery (CSRF) ist ein Angriff, der einen Endbenutzer dazu zwingt, unerwünschte Aktionen in einer Webanwendung auszuführen, in der er sich derzeit authentifiziert hat. CSRF-Angriffe zielen speziell auf Anforderungen zur Statusänderung ab, nicht auf den Diebstahl von Daten, da der Angreifer die Antwort auf die gefälschte Anforderung nicht sehen kann.
Die folgenden Eigenschaften können für hinzugefügte Steuerungen für das CSRF-Token aktiviert werden:
- glide.security.csrf_previous.time_limit
- glide.security.csrf_previous.allow
- glide.security.csrf.strict.validation.mode
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.security.use_csrf_token |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Konfigurieren Sie im Instanz-Sicherheitszentrum | Ja |
| Zweck | Zum Schutz der Anwendung vor potenziellen CSRF-Angriffen. |
| Empfohlener Wert | Wahr |
| Funktionale Auswirkung | (Niedrig) Diese Fehlerkorrektur ermöglicht einen zusätzlichen Validierungsschritt, bevor der Instanzbenutzer eine Schreibanforderung an die Instanz sendet. Jede Schreibanforderung enthält ein CSRF-Token (d. h. eine Validierungs-/CSRF-ID, die an die Benutzersitzung gebunden ist). Wenn die Benutzersitzung abläuft, läuft auch das sichere Token ab. |
| Sicherheitsrisiko | (Hoch) Cross Site Request Forgery stellt ein erhebliches Sicherheitsrisiko dar, das die Integrität der Instanzdaten verletzt. Ein Angreifer kann den CSRF-Angriff starten, indem er das Vertrauen eines Instanzbenutzers missbraucht. Mithilfe von Social Engineering-Angriffen kann ein Benutzer im Namen des Angreifers eine fehlerhafte Anforderung in der Instanz übermitteln. |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.