此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。
防範跨網站要求偽造(CSRF)
貢獻者
建議變更
PDF
您StorageGRID 可以使用CSRF權杖來強化使用Cookie的驗證功能、協助防範跨網站要求偽造(CSRF)攻擊。Grid Manager與租戶管理程式會自動啟用此安全功能、其他API用戶端則可選擇是否在登入時啟用。
攻擊者若能觸發要求至不同網站(例如HTTP表單POST)、可能會導致使用登入使用者的Cookie發出特定要求。
利用CSRF權杖協助防範CSRF攻擊。StorageGRID啟用時、特定Cookie的內容必須符合特定標頭或特定POST本文參數的內容。
若要啟用此功能、請設定 csrfToken 參數至 true 驗證期間。預設值為 false。
curl -X POST --header "Content-Type: application/json" --header "Accept: application/json" -d "{
\"username\": \"MyUserName\",
\"password\": \"MyPassword\",
\"cookie\": true,
\"csrfToken\": true
}" "https://example.com/api/v3/authorize"
如果正確、則為A GridCsrfToken Cookie是以隨機值設定、用於登入Grid Manager和 AccountCsrfToken Cookie是以隨機值設定、用於登入租戶管理程式。
如果Cookie存在、則所有可修改系統狀態的要求(POST、PUT、PATCH、DELETE)都必須包含下列其中一項:
-
。
X-Csrf-Token標頭、並將標頭值設為CSRF權杖Cookie的值。 -
對於接受格式編碼實體的端點:a
csrfToken表單編碼要求本文參數。
|
如果要求設定了 CSRF 權杖 Cookie 、也會針對任何要求 JSON 要求主體做為額外的防護措施、強制使用「 Content-Type : application/json 」標頭來防範 CSRF 攻擊。 |