Задать вопрос
@Mercury13
Программист на «си с крестами» и не только
jenkins

Как работает защита от CSRF в новом Jenkins?

Клиент написан на Си++ (Qt, cURL) и действует примерно так.

1. Идёт на
http://localhost:8080/crumbIssuer/api/xml
2. Разбирает XML и получает строчку 
Jenkins-Crumb: 3de9f4007192ee43a96f2f04a0c2a161a03b26d83259c1448c220a5cd43ee766

3. Идёт на
http://localhost:8080/job/project/buildWithParameters?token=build

с POST-формой (в ней записан номер версии в Mercurial) и вышеуказанным заголовком Jenkins-Crumb.

В таким виде работало почти год. И вот на этом третьем шаге, после обновления 2.176.1 → 2.190.2, и начало валиться с ошибкой «No valid crumb was included in the request».

Сервер Jetty, авторизация BASIC, никакого HTTPS нет.
  • Вопрос задан
  • 973 просмотра
Комментировать
Подписаться 1 Сложный Комментировать
Пригласить эксперта
Ответы на вопрос 1
@vitaly_il1
DevOps Consulting
Если Jenkins не открыт наружу, то можно просто запретить "Prevent Cross Site Request Forgery" чекбокс.
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Администратор баз данных
Quickly Search
от 200 000 до 380 000 ₽
DBA (GitVerse)
СберТех Москва
До 450 000 ₽
Devops (Персона)
Сбер Москва
от 230 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Консультация по созданию математических графиков в Cinema 4D
27 нояб. 2024, в 01:38
2000 руб./за проект
Дизайн трекера для учета задач и времени
27 нояб. 2024, в 01:05
250000 руб./за проект
Исправление в битрикс подключенной библиотеки и обновление метода
27 нояб. 2024, в 00:22
1500 руб./в час
Ещё заказы