Skip to main content
Hay disponible una nueva versión de este producto.
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Protección contra falsificación de solicitudes entre sitios (CSRF)

Colaboradores

Puede ayudar a protegerse contra ataques de falsificación de solicitudes entre sitios (CSRF) contra StorageGRID mediante tokens CSRF para mejorar la autenticación que usa cookies. El administrador de grid y el administrador de inquilinos habilitan automáticamente esta característica de seguridad; otros clientes de API pueden elegir si habilitar la función cuando se conectan.

Un atacante que pueda activar una solicitud a un sitio diferente (por ejemplo, con UNA POST de formulario HTTP) puede provocar ciertas solicitudes mediante las cookies del usuario que ha iniciado sesión.

StorageGRID ayuda a proteger contra ataques de CSRF mediante tokens CSRF. Cuando se activa, el contenido de una cookie específica debe coincidir con el contenido de un encabezado específico o de un parámetro DE cuerpo DE POST específico.

Para habilitar la función, configure la csrfToken parámetro a. true durante la autenticación. El valor predeterminado es false.

curl -X POST --header "Content-Type: application/json" --header "Accept: application/json" -d "{
  \"username\": \"MyUserName\",
  \"password\": \"MyPassword\",
  \"cookie\": true,
  \"csrfToken\": true
}" "https://example.com/api/v3/authorize"

Cuando es verdadero, un GridCsrfToken Cookie se establece con un valor aleatorio para las operaciones de inicio de sesión en Grid Manager y en AccountCsrfToken Cookie se establece con un valor aleatorio para las operaciones de inicio de sesión en el Administrador de inquilinos.

Si la cookie está presente, todas las solicitudes que puedan modificar el estado del sistema (POST, PUT, PATCH, DELETE) deben incluir una de las siguientes:

  • La X-Csrf-Token Encabezado, con el valor del encabezado establecido en el valor de la cookie de token de CSRF.

  • Para los extremos que aceptan un cuerpo codificado mediante formulario: A. csrfToken parámetro de cuerpo de solicitud codificado mediante formulario.

Para configurar la protección CSRF, utilice API de gestión de grid o. API de gestión de inquilinos.

Nota Las solicitudes que tienen un conjunto de cookies de token CSRF también harán cumplir el "Content-Type: application/json" Encabezado para cualquier solicitud que espera un cuerpo de solicitud JSON como protección adicional contra ataques CSRF.