Protección contra falsificación de solicitudes entre sitios (CSRF)
Puede ayudar a protegerse contra ataques de falsificación de solicitudes entre sitios (CSRF) contra StorageGRID mediante tokens CSRF para mejorar la autenticación que usa cookies. El administrador de grid y el administrador de inquilinos habilitan automáticamente esta característica de seguridad; otros clientes de API pueden elegir si habilitar la función cuando se conectan.
Un atacante que pueda activar una solicitud a un sitio diferente (por ejemplo, con UNA POST de formulario HTTP) puede provocar ciertas solicitudes mediante las cookies del usuario que ha iniciado sesión.
StorageGRID ayuda a proteger contra ataques de CSRF mediante tokens CSRF. Cuando se activa, el contenido de una cookie específica debe coincidir con el contenido de un encabezado específico o de un parámetro DE cuerpo DE POST específico.
Para habilitar la función, configure la csrfToken
parámetro a. true
durante la autenticación. El valor predeterminado es false
.
curl -X POST --header "Content-Type: application/json" --header "Accept: application/json" -d "{ \"username\": \"MyUserName\", \"password\": \"MyPassword\", \"cookie\": true, \"csrfToken\": true }" "https://example.com/api/v3/authorize"
Cuando es verdadero, un GridCsrfToken
Cookie se establece con un valor aleatorio para las operaciones de inicio de sesión en Grid Manager y en AccountCsrfToken
Cookie se establece con un valor aleatorio para las operaciones de inicio de sesión en el Administrador de inquilinos.
Si la cookie está presente, todas las solicitudes que puedan modificar el estado del sistema (POST, PUT, PATCH, DELETE) deben incluir una de las siguientes:
-
La
X-Csrf-Token
Encabezado, con el valor del encabezado establecido en el valor de la cookie de token de CSRF. -
Para los extremos que aceptan un cuerpo codificado mediante formulario: A.
csrfToken
parámetro de cuerpo de solicitud codificado mediante formulario.
Para configurar la protección CSRF, utilice "API de gestión de grid" o. "API de gestión de inquilinos".
Las solicitudes que tienen un conjunto de cookies de token CSRF también harán cumplir el "Content-Type: application/json" Encabezado para cualquier solicitud que espera un cuerpo de solicitud JSON como protección adicional contra ataques CSRF.
|