Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Protection contre la contrefaçon de demandes intersites (CSRF)

Contributeurs

Vous pouvez vous protéger contre les attaques de contrefaçon de requêtes intersites (CSRF) contre StorageGRID en utilisant des jetons CSRF pour améliorer l'authentification qui utilise des cookies. Grid Manager et tenant Manager activent automatiquement cette fonction de sécurité ; les autres clients API peuvent choisir de l'activer lorsqu'ils se connectent.

Un attaquant pouvant déclencher une requête vers un autre site (par exemple avec UN POST de formulaire HTTP) peut créer certaines requêtes à l'aide des cookies de l'utilisateur connecté.

StorageGRID contribue à la protection contre les attaques CSRF en utilisant des jetons CSRF. Lorsque cette option est activée, le contenu d'un cookie spécifique doit correspondre au contenu d'un en-tête spécifique ou d'un paramètre DE CORPS POST spécifique.

Pour activer la fonction, définissez l' csrfToken paramètre à true pendant l'authentification. La valeur par défaut est false.

curl -X POST --header "Content-Type: application/json" --header "Accept: application/json" -d "{
  \"username\": \"MyUserName\",
  \"password\": \"MyPassword\",
  \"cookie\": true,
  \"csrfToken\": true
}" "https://example.com/api/v3/authorize"

Si vrai, un GridCsrfToken Le cookie est défini avec une valeur aléatoire pour les connexions dans Grid Manager et dans AccountCsrfToken Le cookie est défini avec une valeur aléatoire pour les connexions au Gestionnaire de locataires.

Si le cookie est présent, toutes les demandes pouvant modifier l'état du système (POST, PUT, PATCH, DELETE) doivent inclure l'une des options suivantes :

  • Le X-Csrf-Token En-tête, avec la valeur de l'en-tête définie sur la valeur du cookie de jeton CSRF.

  • Pour les noeuds finaux qui acceptent un corps codé par formulaire : a csrfToken paramètre corps de demande codé par formulaire.

Pour configurer la protection CSRF, utilisez le API de gestion du grid ou API de gestion des locataires.

Remarque Les demandes disposant d'un jeu de cookies de jeton CSRF appliquent également le "Content-Type: application/json" En-tête pour toute demande qui attend un corps de requête JSON comme une protection supplémentaire contre les attaques CSRF.