Задать вопрос
@Mercury13
Программист на «си с крестами» и не только
jenkins

Как работает защита от CSRF в новом Jenkins?

Клиент написан на Си++ (Qt, cURL) и действует примерно так.

1. Идёт на
http://localhost:8080/crumbIssuer/api/xml
2. Разбирает XML и получает строчку 
Jenkins-Crumb: 3de9f4007192ee43a96f2f04a0c2a161a03b26d83259c1448c220a5cd43ee766

3. Идёт на
http://localhost:8080/job/project/buildWithParameters?token=build

с POST-формой (в ней записан номер версии в Mercurial) и вышеуказанным заголовком Jenkins-Crumb.

В таким виде работало почти год. И вот на этом третьем шаге, после обновления 2.176.1 → 2.190.2, и начало валиться с ошибкой «No valid crumb was included in the request».

Сервер Jetty, авторизация BASIC, никакого HTTPS нет.
  • Вопрос задан
  • 955 просмотров
Комментировать
Подписаться 1 Сложный Комментировать
Пригласить эксперта
Ответы на вопрос 1
@vitaly_il1
DevOps Consulting
Если Jenkins не открыт наружу, то можно просто запретить "Prevent Cross Site Request Forgery" чекбокс.
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
QA automation engineer (Backend)
Infinnity Solutions
от 190 000 до 250 000 ₽
Devops (Персона)
Сбер Москва
от 230 000 ₽
DevOps specialist 3-й линии поддержки
СберТех Москва
До 230 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработка одностраничника
25 апр. 2024, в 11:02
5000 руб./за проект
Фронт мобильное приложение
25 апр. 2024, в 10:42
150000 руб./за проект
Настроить вёрстку webapp-telegram
25 апр. 2024, в 10:41
2000 руб./за проект
Ещё заказы