CSRF 検証をバイパスする警告をユーザーが受け入れるのを防ぐ
CSRF 検証をバイパスする警告をユーザーが受け入れるのを防ぐことで、クロスサイトリクエストフォージェリ (CSRF) のリスクを軽減します。
CSRF トークンの厳密な検証を有効にして、クロスサイトリクエストフォージェリ (CSRF) トークンが再利用されて CSRF 攻撃が許可されるのを防ぎます。
glide.security.csrf.strict.validation.mode システムプロパティ値を true に設定して、CSRF トークンの厳格な検証を有効にします。このプロパティがシステムプロパティ [sys_properties] テーブルに存在しない場合、Xanadu 以降、デフォルト値は true です。
詳細情報
| 属性 | 説明 |
|---|---|
| 技術的な構成名 | glide.security.csrf.strict.validation.mode |
| プラグインの適用性 | なし |
| セキュリティリスク | クロスサイトリクエストフォージェリは、インスタンスデータの完全性を侵害する重大なセキュリティリスクです。攻撃者は、インスタンスユーザーの信頼を悪用して、どのインスタンスユーザーにでも CSRF 攻撃を開始することができます。ソーシャルエンジニアリング攻撃を利用して、ユーザーが攻撃者の代わりにインスタンスに対して誤った要求を送信する可能性があります。 |
| 共通脆弱性スコアリングシステム (CVSS) スコア | 3.7 |
| 共通脆弱性スコアリングシステム (CVSS) 評価 | Low (低) |
| 機能への影響 | この修正により、ユーザーがインスタンスへの書き込み要求を送信する前に、追加の検証手順が有効になります。現在の CSRF トークンが以前に使用されたかどうかをチェックします。含まれている場合は、以降の書き込み要求の送信を防止します。 |
| 依存関係と前提条件 | なし |
| データタイプ | ブール |
| ベースシステム値 | true |
| フォールバック値 | true |
| 推奨値 | true |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。