Impedir que os usuários aceitem um aviso para ignorar a validação de CSRF
Reduza o risco de falsificação de solicitação entre sites (CSRF), evitando que os usuários aceitem um aviso para ignorar a validação de CSRF.
Habilite a validação estrita do token CSRF para impedir que os tokens de falsificação de solicitação entre sites (CSRF) sejam reutilizados, o que pode permitir ataques de CSRF.
Defina o valor da propriedade do sistema glide.security.csrf.strict.validation.mode como verdadeiro para habilitar a validação estrita do token CSRF. Se esta propriedade não existir na tabela Propriedades do sistema [sys_properties], o valor padrão será verdadeiro a partir do Xanadu.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da configuração técnica | glide.security.csrf.strict.validation.mode |
| Aplicabilidade do plug-in | Nenhum(a) |
| Risco à segurança | A falsificação de solicitação entre sites é um risco de segurança significativo que viola a integridade dos dados da instância. Um invasor pode iniciar o ataque de CSRF em qualquer usuário da instância abusando da confiança do usuário da instância. Com a ajuda de ataques de engenharia social, um usuário pode enviar uma solicitação malformada à instância em nome do invasor. |
| Pontuação do Sistema de pontuação de vulnerabilidade comum (CVSS) | 3,7 |
| Classificação do Sistema de pontuação de vulnerabilidade comum (CVSS) | Baixo(a) |
| Impacto funcional | Essa correção permite uma etapa de validação extra antes que o usuário envie uma solicitação de gravação para a instância. Ela verifica se o token CSRF atual foi usado anteriormente. Se tiver, impedirá o envio de outras solicitações de gravação. |
| Dependências e pré-requisitos | Nenhum(a) |
| Tipo de dados | Booliano |
| Valor do sistema base | verdadeiro |
| Valor de fallback | verdadeiro |
| Valor recomendado | verdadeiro |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.