Protection contre la contrefaçon de demandes intersites (CSRF)
Vous pouvez vous protéger contre les attaques de contrefaçon de requêtes intersites (CSRF) contre StorageGRID en utilisant des jetons CSRF pour améliorer l'authentification qui utilise des cookies. Grid Manager et tenant Manager activent automatiquement cette fonction de sécurité ; les autres clients API peuvent choisir de l'activer lorsqu'ils se connectent.
Un attaquant pouvant déclencher une requête vers un autre site (par exemple avec UN POST de formulaire HTTP) peut créer certaines requêtes à l'aide des cookies de l'utilisateur connecté.
StorageGRID contribue à la protection contre les attaques CSRF en utilisant des jetons CSRF. Lorsque cette option est activée, le contenu d'un cookie spécifique doit correspondre au contenu d'un en-tête spécifique ou d'un paramètre DE CORPS POST spécifique.
Pour activer la fonction, définissez l' csrfToken
paramètre à true
pendant l'authentification. La valeur par défaut est false
.
curl -X POST --header "Content-Type: application/json" --header "Accept: application/json" -d "{ \"username\": \"MyUserName\", \"password\": \"MyPassword\", \"cookie\": true, \"csrfToken\": true }" "https://example.com/api/v3/authorize"
Si vrai, un GridCsrfToken
Le cookie est défini avec une valeur aléatoire pour les connexions dans Grid Manager et dans AccountCsrfToken
Le cookie est défini avec une valeur aléatoire pour les connexions au Gestionnaire de locataires.
Si le cookie est présent, toutes les demandes pouvant modifier l'état du système (POST, PUT, PATCH, DELETE) doivent inclure l'une des options suivantes :
-
Le
X-Csrf-Token
En-tête, avec la valeur de l'en-tête définie sur la valeur du cookie de jeton CSRF. -
Pour les noeuds finaux qui acceptent un corps codé par formulaire : a
csrfToken
paramètre corps de demande codé par formulaire.
Reportez-vous à la documentation en ligne de l'API pour obtenir des exemples et des détails supplémentaires.
Les demandes disposant d'un jeu de cookies de jeton CSRF appliquent également le "Content-Type: application/json" En-tête pour toute demande qui attend un corps de requête JSON comme une protection supplémentaire contre les attaques CSRF.
|