IZUG846W: HTTP-запрос для службы REST az / OSMF был получен с удаленного сайта

652
Hogstrom

Я установил z / OSMF и получаю эту ошибку при попытке получить доступ к URL https://my.zos.com/zosmf/restjobs/jobs.

{«ErrorID»: «IZUG846W», «errorMsg»: «IZUG846W: HTTP-запрос для службы z / OSMF REST получен с удаленного сайта. Однако запрос был отклонен, поскольку удаленному сайту \ "\" не разрешен сервер z / OSMF \ "IZUSVR \" в целевой системе \ "my.zos.com \". «}

Сообщение об ошибке не предоставляет достаточной информации для определения первопричины. Кто-то еще ударил эту проблему?

3

3 ответа на вопрос

4
John Czukkermann

Предпочтительно, и я полагаю, что по умолчанию используется CSRF_SWITCH (ON), для которого требуется настроить белый список, чтобы только хосты из белого списка могли инициировать запросы.

Белый список представляет собой ZMFAPLAпрофиль класса ресурсов RACF формы IZUDFLT.ZOSMF.REST.<zosmf-service>.<reversed-host-name>. Все такие профили должны быть определены с помощью UACC (NONE) и разрешать READ доступ к идентификатору сервера (по умолчанию IZUSVR).

В качестве примера профиля IZUDFLT.ZOSMF.REST.*.com.whoa.test.myserverбудут разрешены входящие перекрестные запросы от имени хоста myserver.test.whoa.com. Запросы того же источника, что и запросы от веб-браузера, который напрямую обращается к хосту z / OSMF, не подлежат защите CSRF.

Спасибо Джон. Вот почему я назвал z / OSMF настроенным в безопасном режиме и предоставил ссылки на другие материалы для рассмотрения. Hogstrom 6 лет назад 0
2
Joe Winchester

Если вы сами генерируете запрос REST, вы можете добавить заголовок X-CSRF-ZOSMF-HEADER с любым значением, чтобы обойти это. Почтальон Firefox, например, позволяет вам добавить заголовок, который я получил до и после в почтальоне

Еще один хороший способ справиться с суетливым сервером z / OSMF - использовать API через CURL.

curl -k -H "X-CSRF-ZOSMF-HEADER: dummy" -u: https: //: / zosmf / restfiles / ds? dslevel = T *

В zowe.org мы предоставляем набор API-интерфейсов REST, которые не настаивают на заголовке и абстрагируют некоторые нюансы z / OSMF, а также интерфейс командной строки и изящно выглядящий проводник JES, а также несколько файловых исследователей. для наборов данных и файлов USS, которые запускаются в браузере, так что если у вас есть момент, качайте zowe.org и дайте нам знать, поможет ли это вообще.

Ура,

Джо

1
Hogstrom

По умолчанию z / OSMF настроен в безопасном режиме, чтобы не открывать случайную дыру в безопасности. Предоставленное сообщение указывает, что удаленная система (источник вызова REST) ​​потенциально может быть небезопасной. Это означает, что запрос отклонен.

Одним из способов избежать этой проблемы является изменение IZUPRMnnчлена, который инициализирует z / OSMF. Параметр:

CSRF_SWITCH(ON)значение по умолчанию может быть изменено на CSRF_SWITCH(OFF)это отключает механизм безопасности межсайтовых сценариев.

Параметры для z / OSMF можно найти здесь .

Конкретная запись для CSRF_SWITCHвключена для справки ниже и основана на z / OS 2.3.

CSRF_SWITCH (ON | OFF)

Указывает, включена ли проверка пользовательских заголовков Cross Site Request Forgery (CSRF) для запросов REST API. По умолчанию для CSRF_SWITCH установлено значение ON, чтобы гарантировать, что ваша установка защищена от CSRF-атак. Однако в некоторых ограниченных случаях, например, для тестирования, вы можете временно отключить проверку CSRF, установив CSRF_SWITCH = OFF. Однако рекомендуется оставить этот параметр включенным, чтобы предотвратить атаки CSRF. Для получения дополнительной информации см. Руководство по программированию IBM z / OS Management Facility. По умолчанию: ON

Более подробную информацию о конфигурации z / OSMF можно найти здесь

Похожие вопросы