안티-CSRF 토큰(인스턴스 보안 강화)
이 속성을 사용하여 glide.security.use_csrf_token 들어오는 요청을 식별하고 유효성을 검사하는 보안 토큰을 사용하며, 이는 이러한 공격을 방지하는 데 사용됩니다.
CSRF(교차 사이트 요청 위조)는 최종 사용자가 현재 인증된 웹 애플리케이션에서 원치 않는 작업을 실행하도록 강요하는 공격입니다. CSRF 공격은 공격자가 위조된 요청에 대한 응답을 볼 방법이 없기 때문에 데이터 도난이 아닌 상태 변경 요청을 구체적으로 표적으로 삼습니다.
주:
기본적으로 zBoot 인스턴스에 대해 속성은 glide.security.use_csrf_tokentrue 로 설정됩니다.
CSRF 토큰에 대한 추가 통제에 다음 속성을 사용할 수 있습니다.
- glide.security.csrf_previous.time_limit
- glide.security.csrf_previous.allow
- glide.security.csrf.strict.validation.mode
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.security.use_csrf_token |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 인스턴스 보안 센터에서 구성 | 예 |
| 목적 | 잠재적인 CSRF 공격으로부터 애플리케이션을 보호하기 위해서입니다. |
| 권장 값 | 예 |
| 기능적 영향 | (낮음) 이렇게 정정하면 인스턴스 사용자가 인스턴스에 쓰기 요청을 제출하기 전에 추가 확인 단계가 활성화됩니다. 모든 쓰기 요청에는 CSRF 토큰(즉, 사용자 세션에 연결된 유효성 검사/CSRF ID)이 포함됩니다. 사용자 세션이 만료되면 보안 토큰도 함께 만료됩니다. |
| 보안 위험 | (높음) 교차 사이트 요청 위조는 인스턴스 데이터의 무결성을 침해하는 중대한 보안 위험 요소입니다. 공격자는 인스턴스 사용자의 신뢰를 남용하여 CSRF 공격을 시작할 수 있습니다. 소셜 엔지니어링 공격의 도움으로 사용자는 인스턴스에서 공격자를 대신하여 잘못된 형식의 요청을 제출할 수 있습니다. |
시스템 속성 추가 또는 작성에 대한 자세한 내용은 다음 문서를 참조하십시오 Add a system property.