Protection contre la contrefaçon de demandes intersites (CSRF)
-
Un fichier PDF de toute la documentation
-
Installer et entretenir le matériel de l'appareil
- Appareils de services SG100 et SG1000
- Dispositifs de stockage SG6000
- Appliances de stockage SG5700
-
Installez et mettez à niveau le logiciel
- Installez Red Hat Enterprise Linux ou CentOS
-
Administrer le système
- Administrer StorageGRID
- Utiliser StorageGRID
-
Contrôler et gérer StorageGRID
-
Récupérer et entretenir
- Procédures de restauration des nœuds de la grille
-
Récupérer et entretenir
-
Installer et entretenir le matériel de l'appareil
Plusieurs fichiers PDF
Creating your file...
Vous pouvez vous protéger contre les attaques de contrefaçon de requêtes intersites (CSRF) contre StorageGRID en utilisant des jetons CSRF pour améliorer l'authentification qui utilise des cookies. Grid Manager et tenant Manager activent automatiquement cette fonction de sécurité ; les autres clients API peuvent choisir de l'activer lorsqu'ils se connectent.
Un attaquant pouvant déclencher une requête vers un autre site (par exemple avec UN POST de formulaire HTTP) peut créer certaines requêtes à l'aide des cookies de l'utilisateur connecté.
StorageGRID contribue à la protection contre les attaques CSRF en utilisant des jetons CSRF. Lorsque cette option est activée, le contenu d'un cookie spécifique doit correspondre au contenu d'un en-tête spécifique ou d'un paramètre DE CORPS POST spécifique.
Pour activer la fonction, définissez l' csrfToken
paramètre à true
pendant l'authentification. La valeur par défaut est false
.
curl -X POST --header "Content-Type: application/json" --header "Accept: application/json" -d "{ \"username\": \"MyUserName\", \"password\": \"MyPassword\", \"cookie\": true, \"csrfToken\": true }" "https://example.com/api/v3/authorize"
Si vrai, un GridCsrfToken
Le cookie est défini avec une valeur aléatoire pour les connexions dans Grid Manager et dans AccountCsrfToken
Le cookie est défini avec une valeur aléatoire pour les connexions au Gestionnaire de locataires.
Si le cookie est présent, toutes les demandes pouvant modifier l'état du système (POST, PUT, PATCH, DELETE) doivent inclure l'une des options suivantes :
-
Le
X-Csrf-Token
En-tête, avec la valeur de l'en-tête définie sur la valeur du cookie de jeton CSRF. -
Pour les noeuds finaux qui acceptent un corps codé par formulaire : a
csrfToken
paramètre corps de demande codé par formulaire.
Pour configurer la protection CSRF, utilisez le API de gestion du grid ou API de gestion des locataires.
Les demandes disposant d'un jeu de cookies de jeton CSRF appliquent également le "Content-Type: application/json" En-tête pour toute demande qui attend un corps de requête JSON comme une protection supplémentaire contre les attaques CSRF.
|