防止跨站点请求伪造( CSRF )

您可以通过使用 CSRF 令牌增强 StorageGRID 使用 Cookie 的身份验证,帮助防止 StorageGRID 受到跨站点请求伪造( CSRF )攻击。网格管理器租户管理器 会自动启用此安全功能;其他 API 客户端可以选择在登录时是否启用此功能。

如果攻击者可以向其他站点触发请求(例如使用 HTTP 表单发布),则可能会导致使用已登录用户的 cookie 发出某些请求。

StorageGRID 可通过使用 CSRF 令牌帮助防止 CSRF 攻击。启用后,特定 Cookie 的内容必须与特定标题或特定后处理正文参数的内容匹配。

要启用此功能, 请在身份验证期间将 csrfToken 参数设置为 true 。默认值为 false
curl -X post -header "Content-Type : application/json" -header "accept : application/json" -d " {
  " 用户名 " : " 我的用户名 " ,
  " 密码 " : " 我的密码 " ,
  "cookie" : true ,
  "csrfToken" : true
} " https://example.com/api/v3/authorize"

如果为 true , 则将 GridCsrfToken Cookie 设置为用于登录 网格管理器租户管理器的随机值,而将 AccountCsrfToken Cookie 设置为用于登录的随机值。

如果存在 Cookie ,则可以修改系统状态的所有请求( POST , PUT , patch , delete )都必须包括以下项之一:

有关其他示例和详细信息,请参见联机 API 文档。

注: 设置了 CSRF 令牌 cookie 的请求也会对 任何请求强制使用 "Content-Type : application/json" 标头,以使 JSON 请求正文能够为 CSRF 攻击提供额外保护。