¿Qué es CSRF?
La falsificación de solicitud entre sitios (CSRF) es un ataque que obliga a un usuario final a ejecutar acciones no deseadas en una aplicación web en la que está autenticado actualmente. Habilitar esta función en cualquier API es una de las formas de prevenir este ataque.
CSRF Proteja la solicitud de otras redes cuando envían una solicitud modificable en su sistema, como POST, PUT, DELETE, etc.
¿Cómo funciona CSRF?
En términos normales, para cada solicitud, el solicitante debe obtener el token del mismo proveedor de servicios llamando al mismo punto final que el solicitante utilizará para enviar los datos modificables. Para obtener el token del solicitante del servicio, debe enviar la misma solicitud con GET/OPTION pasando «X-CSRF-Token» como encabezado y el valor como «Fetch». Como resultado, recibirá el token que más adelante en la llamada debe pasar como valor para el encabezado «X-CSRf-Token».
Implementación y funcionamiento de CSRF en el adaptador HTTPS
Actualmente estoy usando la versión de prueba de SAP Integration Suit para la demostración.
Cree un IFlow de demostración en su entorno y use el adaptador HTTPS en el lado del remitente para proporcionar su punto final y marque la casilla «Protección CSRF» en la pestaña Conexión.
Implemente IFlow y obtenga el punto final de la supervisión. En este Iflow, he usado un modificador de contenido para recibir la respuesta ficticia.
Configuración del cartero:
Una vez que obtenga el punto final, abra su cartero y cree una nueva solicitud con la operación HEAD/OPTION y proporcione las credenciales en la autenticación básica y use el mismo punto final generado por IFlow para obtener el token CSRF.
Nota: El token CSRF solo es válido para el IFlow desde el que lo generó, no puede usar un token generado desde un IFlow en otro IFlow.
Una vez que envíe la solicitud en la sección del encabezado de verificación de respuesta y con el encabezado «X-CSRF-Token», obtendrá el token que debe usar en la solicitud POST/PUT/DELETE.
Nota: Esta solicitud no será visible en el monitoreo de Integration Suit.
Copia el token en 2Dakota del Norte solicitud con el mismo encabezado y obtendrá el resultado deseado.
Intentaremos lo mismo 2Dakota del Norte solicitud sin pasar este encabezado y dar como resultado un error prohibido 403.
Así es como se puede configurar y usar CSRF en escenarios reales para una mejor protección.
Resumen
En este blog, llegamos a la protección adicional al habilitar CSRF en su IFlow. Esto también se puede hacer para el adaptador OData. Cartero que podemos usar para probar el IFlow antes de dar el punto final a un tercero.
Gracias por leer este blog. Será útil si proporciona sus comentarios en la sección de comentarios y sigue para obtener más contenido similar relacionado con la integración (SAP PI/PO/CPI/IRPA).
Siga a la comunidad también para un mejor alcance en más temas.
Página del tema de integración aquí | Blog de integración aquí
Calle Eloy Gonzalo, 27
Madrid, Madrid.
Código Postal 28010
Paseo de la Reforma 26
Colonia Juárez, Cuauhtémoc
Ciudad de México 06600
Real Cariari
Autopista General Cañas,
San José, SJ 40104
Av. Jorge Basadre 349
San Isidro
Lima, LIM 15073