Manos a la obra
Protección contra falsificación de solicitudes entre sitios (CSRF)
Sugerir cambios
-
PDF de este sitio de documentos
-
Instale y mantenga el hardware del dispositivo
-
Servicios de aplicaciones SG100 y SG1000
-
Dispositivos de almacenamiento SG6000
-
Dispositivos de almacenamiento SG5700
-
-
Instale y actualice el software
-
Realizar la administración del sistema
-
Administre StorageGRID
-
-
Utilice StorageGRID
-
Supervisar y mantener StorageGRID
-
Recuperación y mantenimiento
-
Procedimientos de recuperación de nodos de grid
-
-
-
Recopilación de documentos PDF independientes
Creating your file...
Puede ayudar a protegerse contra ataques de falsificación de solicitudes entre sitios (CSRF) contra StorageGRID mediante tokens CSRF para mejorar la autenticación que usa cookies. El administrador de grid y el administrador de inquilinos habilitan automáticamente esta característica de seguridad; otros clientes de API pueden elegir si habilitar la función cuando se conectan.
Un atacante que pueda activar una solicitud a un sitio diferente (por ejemplo, con UNA POST de formulario HTTP) puede provocar ciertas solicitudes mediante las cookies del usuario que ha iniciado sesión.
StorageGRID ayuda a proteger contra ataques de CSRF mediante tokens CSRF. Cuando se activa, el contenido de una cookie específica debe coincidir con el contenido de un encabezado específico o de un parámetro DE cuerpo DE POST específico.
Para habilitar la función, configure la csrfToken parámetro a. true durante la autenticación. El valor predeterminado es false.
curl -X POST --header "Content-Type: application/json" --header "Accept: application/json" -d "{
\"username\": \"MyUserName\",
\"password\": \"MyPassword\",
\"cookie\": true,
\"csrfToken\": true
}" "https://example.com/api/v3/authorize"
Cuando es verdadero, un GridCsrfToken Cookie se establece con un valor aleatorio para las operaciones de inicio de sesión en Grid Manager y en AccountCsrfToken Cookie se establece con un valor aleatorio para las operaciones de inicio de sesión en el Administrador de inquilinos.
Si la cookie está presente, todas las solicitudes que puedan modificar el estado del sistema (POST, PUT, PATCH, DELETE) deben incluir una de las siguientes:
-
La
X-Csrf-TokenEncabezado, con el valor del encabezado establecido en el valor de la cookie de token de CSRF. -
Para los extremos que aceptan un cuerpo codificado mediante formulario: A.
csrfTokenparámetro de cuerpo de solicitud codificado mediante formulario.
Para configurar la protección CSRF, utilice API de gestión de grid o. API de gestión de inquilinos.
|
Las solicitudes que tienen un conjunto de cookies de token CSRF también harán cumplir el "Content-Type: application/json" Encabezado para cualquier solicitud que espera un cuerpo de solicitud JSON como protección adicional contra ataques CSRF.
|