Skip to main content
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

防範跨網站要求偽造(CSRF)

貢獻者

您StorageGRID 可以使用CSRF權杖來強化使用Cookie的驗證功能、協助防範跨網站要求偽造(CSRF)攻擊。Grid Manager與租戶管理程式會自動啟用此安全功能、其他API用戶端則可選擇是否在登入時啟用。

攻擊者若能觸發要求至不同網站(例如HTTP表單POST)、可能會導致使用登入使用者的Cookie發出特定要求。

利用CSRF權杖協助防範CSRF攻擊。StorageGRID啟用時、特定Cookie的內容必須符合特定標頭或特定POST本文參數的內容。

若要啟用此功能、請設定 csrfToken 參數至 true 驗證期間。預設值為 false

curl -X POST --header "Content-Type: application/json" --header "Accept: application/json" -d "{
  \"username\": \"MyUserName\",
  \"password\": \"MyPassword\",
  \"cookie\": true,
  \"csrfToken\": true
}" "https://example.com/api/v3/authorize"

如果正確、則為A GridCsrfToken Cookie是以隨機值設定、用於登入Grid Manager和 AccountCsrfToken Cookie是以隨機值設定、用於登入租戶管理程式。

如果Cookie存在、則所有可修改系統狀態的要求(POST、PUT、PATCH、DELETE)都必須包含下列其中一項:

  • X-Csrf-Token 標頭、並將標頭值設為CSRF權杖Cookie的值。

  • 對於接受格式編碼實體的端點:a csrfToken 表單編碼要求本文參數。

若要設定CSRF保護、請使用 "網格管理API""租戶管理API"

註 具有CSRF權杖Cookie集的要求也會強制執行 "Content-Type: application/json" 任何要求的標頭、如果要求Json要求實體做為額外的CSRF攻擊防護、