CSRF 対策トークン (インスタンスセキュリティ強化)
glide.security.use_csrf_token プロパティを使用して、受信要求の識別および検証に保護トークンが使用されるようにします。このトークンは、これらの攻撃を防止するために使用されます。
クロスサイトリクエストフォージェリ (CSRF) は、エンドユーザーに現在認証されている Web アプリケーションで不要なアクションの実行を強制する攻撃です。CSRF 攻撃は、偽造された要求に対する応答を確認する方法がないため、データの盗難ではなく、ステータス変更要求を明確にターゲットにしています。
注:
デフォルトでは、zBoot インスタンスの glide.security.use_csrf_token プロパティは true に設定されています。
CSRF トークンのコントロールを追加するために、次のプロパティを有効にすることができます。
- glide.security.csrf_previous.time_limit
- glide.security.csrf_previous.allow
- glide.security.csrf.strict.validation.mode
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.security.use_csrf_token |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| インスタンスセキュリティセンターでの構成 | あり |
| 目的 | CSRF 攻撃の可能性からアプリケーションを保護すること |
| 推奨値 | true |
| 機能への影響 | (低)この修正により、インスタンスユーザーがインスタンスへの書き込み要求を送信する前に、追加の検証手順が有効になります。すべての書き込み要求には、CSRF トークン (つまりユーザーセッションに関連付けられた検証/CSRF ID) が含まれています。ユーザーセッションが期限切れになると、セキュアトークンも期限切れになります。 |
| セキュリティリスク | (高) クロスサイト要求偽造は、インスタンスデータの完全性を侵害する重大なセキュリティリスクです。攻撃者は、インスタンスユーザーの信頼を悪用して CSRF 攻撃を開始することができます。ソーシャルエンジニアリング攻撃を利用して、ユーザーがインスタンスで攻撃者の代わりに誤った要求を送信する可能性があります。 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。