본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

사이트 간 요청 위조(CSRF)로부터 보호

기여자

CSRF 토큰을 사용하여 쿠키를 사용하는 인증을 강화하면 StorageGRID에 대한 CSRF(사이트 간 요청 위조) 공격으로부터 보호할 수 있습니다. Grid Manager 및 Tenant Manager는 이 보안 기능을 자동으로 활성화합니다. 다른 API 클라이언트는 로그인할 때 활성화 여부를 선택할 수 있습니다.

HTTP 양식 POST와 같이 다른 사이트에 대한 요청을 트리거할 수 있는 공격자는 로그인한 사용자의 쿠키를 사용하여 특정 요청을 만들 수 있습니다.

StorageGRID는 CSRF 토큰을 사용하여 CSRF 공격으로부터 보호합니다. 활성화된 경우 특정 쿠키의 내용은 특정 헤더 또는 특정 POST 본문 매개 변수의 내용과 일치해야 합니다.

이 기능을 활성화하려면 인증 중에 csrfToken 매개 변수를 true로 설정하십시오. 기본값은 false 입니다.

curl -X POST --header "Content-Type: application/json" --header "Accept: application/json" -d "{
  \"username\": \"MyUserName\",
  \"password\": \"MyPassword\",
  \"cookie\": true,
  \"csrfToken\": true
}" "https://example.com/api/v3/authorize"

true이면 Grid Manager에 로그인할 때 임의의 값으로 GridCsrfToken 쿠키가 설정되고 테넌트 관리자에 로그인할 때 임의의 값으로 AccountCsrfToken 쿠키가 설정됩니다.

쿠키가 있는 경우 시스템 상태(POST, PUT, 패치, 삭제)를 수정할 수 있는 모든 요청에 다음 중 하나가 포함되어야 합니다.

  • CSRF 토큰 쿠키의 값으로 설정된 헤더의 X-CSRF-Token 헤더입니다.

  • 폼 인코딩된 본문을 허용하는 끝점의 경우 "csrfToken" 형식 인코딩된 요청 본문 매개 변수입니다.

CSRF 보호를 구성하려면 를 사용합니다 Grid Management API를 참조하십시오 또는 테넌트 관리 API.

참고 CSRF 토큰 쿠키 세트를 가진 요청은 또한 JSON 요청 본문을 CSRF 공격에 대한 추가 보호로서 기대하는 모든 요청에 대해 ""Content-Type:application/json"" 헤더를 적용합니다.