Protección contra la falsificación de solicitudes entre sitios (CSRF)
Puede ayudar a protegerse contra ataques de falsificación de solicitud entre sitios (CSRF) contra StorageGRID mediante el uso de tokens CSRF para mejorar la autenticación que utiliza cookies. El administrador de red y el administrador de inquilinos habilitan automáticamente esta función de seguridad; otros clientes de API pueden elegir si habilitarla cuando inician sesión.
Un atacante que puede activar una solicitud a un sitio diferente (por ejemplo, con un formulario HTTP POST) puede provocar que ciertas solicitudes se realicen utilizando las cookies del usuario que inició sesión.
StorageGRID ayuda a proteger contra ataques CSRF mediante el uso de tokens CSRF. Cuando está habilitada, el contenido de una cookie específica debe coincidir con el contenido de un encabezado específico o de un parámetro de cuerpo POST específico.
Para habilitar la función, configure el csrfToken
parámetro a true
durante la autenticación. El valor predeterminado es false
.
curl -X POST --header "Content-Type: application/json" --header "Accept: application/json" -d "{ \"username\": \"MyUserName\", \"password\": \"MyPassword\", \"cookie\": true, \"csrfToken\": true }" "https://example.com/api/v3/authorize"
Cuando es cierto, una GridCsrfToken
La cookie se establece con un valor aleatorio para los inicios de sesión en Grid Manager y AccountCsrfToken
La cookie se establece con un valor aleatorio para los inicios de sesión en el Administrador de inquilinos.
Si la cookie está presente, todas las solicitudes que puedan modificar el estado del sistema (POST, PUT, PATCH, DELETE) deben incluir uno de los siguientes:
-
El
X-Csrf-Token
encabezado, con el valor del encabezado establecido en el valor de la cookie del token CSRF. -
Para los puntos finales que aceptan un cuerpo codificado por formulario: A
csrfToken
parámetro del cuerpo de la solicitud codificado en formulario.
Consulte la documentación de la API en línea para obtener ejemplos y detalles adicionales.
|
Las solicitudes que tienen una cookie de token CSRF configurada también aplicarán el encabezado "Content-Type: application/json" para cualquier solicitud que espere un cuerpo de solicitud JSON como protección adicional contra ataques CSRF. |