Proteja-se contra falsificação de solicitação entre sites (CSRF)
Você pode ajudar a proteger contra ataques de falsificação de solicitação entre sites (CSRF) contra o StorageGRID usando tokens CSRF para aprimorar a autenticação que usa cookies. O Grid Manager e o Tenant Manager habilitam automaticamente esse recurso de segurança; outros clientes da API podem escolher se desejam habilitá-lo ao efetuar login.
Um invasor que pode disparar uma solicitação para um site diferente (como com um formulário HTTP POST) pode fazer com que certas solicitações sejam feitas usando os cookies do usuário conectado.
O StorageGRID ajuda a proteger contra ataques CSRF usando tokens CSRF. Quando ativado, o conteúdo de um cookie específico deve corresponder ao conteúdo de um cabeçalho específico ou de um parâmetro de corpo POST específico.
Para habilitar o recurso, defina o csrfToken
parâmetro para true
durante a autenticação. O padrão é false
.
curl -X POST --header "Content-Type: application/json" --header "Accept: application/json" -d "{ \"username\": \"MyUserName\", \"password\": \"MyPassword\", \"cookie\": true, \"csrfToken\": true }" "https://example.com/api/v3/authorize"
Quando verdadeiro, um GridCsrfToken
O cookie é definido com um valor aleatório para logins no Grid Manager e o AccountCsrfToken
O cookie é definido com um valor aleatório para logins no Tenant Manager.
Se o cookie estiver presente, todas as solicitações que podem modificar o estado do sistema (POST, PUT, PATCH, DELETE) devem incluir um dos seguintes:
-
O
X-Csrf-Token
cabeçalho, com o valor do cabeçalho definido como o valor do cookie do token CSRF. -
Para terminais que aceitam um corpo codificado em formulário: A
csrfToken
parâmetro do corpo da solicitação codificado em formulário.
Consulte a documentação da API on-line para obter exemplos e detalhes adicionais.
|
Solicitações que tenham um cookie de token CSRF definido também aplicarão o cabeçalho "Content-Type: application/json" para qualquer solicitação que espere um corpo de solicitação JSON como proteção adicional contra ataques CSRF. |