No valid crumb was included in the request 问题定位与解决

最新推荐文章于 2024-02-27 09:54:11 发布
最新推荐文章于 2024-02-27 09:54:11 发布
阅读量1.6w 收藏 34
点赞数 24
分类专栏: Jenkins
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32238611/article/details/109757603
版权

背景

测试环境Jenkins版本进行了升级,发现代码中直接使用http调用Jenkins REST API的方法失效了,这边是除了GET以外其他的操作类的接口失效了,都是同样的错误,No valid crumb was included in the request。
在这里插入图片描述

百度的结果

搜索了具体的错误信息,发现都是一样的,就是说把Jenkins的CSRF给关闭了,但是我在Jenkins上面没有找到关闭CSRF的入口。就像下面这张图。
在这里插入图片描述
然后百度得知,Jenkins高版本关闭了页面上面取消CSRF防护的入口,本来也不推荐关闭。就想到失效的原因应该是之前的Jenkins一直没有打开CSRF防护,所以接口都是可以调用的。

解决

  • 方法一
    这边我当时是想,既然说没有这个crumb,那我就在请求的时候生成这个crumb头,然后加上再去调用接口不就好了。但是当我加上这个头之后,还是报同样的错误,很头疼。方法一GG。
    下面是我之前写的代码,大家也可以参考下。
    定义了一个crumb的实体对象。
// crumb头实体对象
@Data
private static class CrumbEntity implements Serializable {
    private String _class;
    private String crumb;
    private String crumbRequestField;
}

具体获取crumb头信息的方法。这边能够获取到crumb请求头,然后我也将这个头信息也加到了请求上,还是报错。

/**
 * 单独提取的一个公共方法
 *
 * @param url 请求地址
 * @param httpRequest 请求方法对象
 * @return
 */
private String customHttpMsg(String url, HttpRequest httpRequest) throws URISyntaxException, IOException {
    URI uri = new URI(url);
    HttpHost host = new HttpHost(uri.getHost(), uri.getPort());
    CredentialsProvider credentialsProvider = new BasicCredentialsProvider();
    credentialsProvider.setCredentials(new AuthScope(uri.getHost(), uri.getPort()),
            new UsernamePasswordCredentials(JENKINS_USERNAME, JENKINS_PASSWORD));
    AuthCache authCache = new BasicAuthCache();
    BasicScheme basicScheme = new BasicScheme();
    authCache.put(host,basicScheme);
    try (CloseableHttpClient httpClient = HttpClients.custom().setDefaultCredentialsProvider(credentialsProvider).build()) {
        HttpClientContext httpClientContext = HttpClientContext.create();
        httpClientContext.setAuthCache(authCache);
        CloseableHttpResponse response = httpClient.execute(host, httpRequest, httpClientContext);
        return EntityUtils.toString(response.getEntity(), StandardCharsets.UTF_8);
    }
}

// 获取crumb头
private CrumbEntity getCrumb() throws IOException, URISyntaxException {
    String url = JENKINS_URL + "/crumbIssuer/api/json";
    HttpGet httpGet = new HttpGet(url);
    String res = customHttpMsg(url, httpGet);
    return JSON.parseObject(res, CrumbEntity.class);
}

// 测试获取crumb头
@Test
public void testGetCrumb() throws IOException, URISyntaxException {
    CrumbEntity crumb = getCrumb();
    log.info("crumb is {}", crumb);
}

// 测试方法调用前添加crumb头
// 但是测试无效
@Test
public void testAddCrumb() throws IOException, URISyntaxException {
    String url = JENKINS_URL+"/createItem/api/json?name="+JENKINS_PROJECT_NAME;
    HttpPost httpPost = new HttpPost(url);
    CrumbEntity crumb = getCrumb();
    // 添加crumb头
    httpPost.addHeader(new BasicHeader(crumb.getCrumbRequestField(), crumb.getCrumb()));
    httpPost.setEntity(new StringEntity(JENKINS_PROJECT_XML, ContentType.create("text/xml", "utf-8")));
    String res = customHttpMsg(url, httpPost);
    log.info("res is {}", res);
}
  • 方法二
    接口调用不了了,很急,就想到这个日志应该是Jenkins打印出来的,然后就去下载了Jenkins的源码,全局搜索了这个错误日志,果然搜索到了,还有一段解释。
    这段代码在core/src/main/java/hudson/security/csrf/CrumbFilter.java里面,这个类是一个过滤器,方法中具体的逻辑是判断crumb头是否合法,然后再进行放行操作。
    在这里插入图片描述
    这边到具体抛出问题的位置,然后看了下具体的日志,日志里面是说使用这种token来代替,然后打开后面的链接。贴一下链接地址:https://jenkins.io/redirect/crumb-cannot-be-used-for-script
    在这里插入图片描述
    翻译大概是,CSRF的这个crumb头目前仅仅是对创建他们的Web会话有效,以限制攻击者的攻击。就是我们通过这个/crumbIssuer/api 获取到的crumb,除非是保存了Web会话信息,不然是无法调用CSRF保护的接口的。或者说使用API token,这种方式是不需要额外添加crumb头的。
    这么看,大概有两种方法可以解决这个问题。第一种是调用接口时,把会话信息带着,实现感觉有点复杂,没做。第二种,就是使用API token的方式,然后这个token怎么添加呢?

添加token

添加这个token很简单,我这边也简单整理了下。
选择Jenkins当前用户。选择配置,添加用户对应的一个token信息。
在这里插入图片描述
这块,生成的token需要自己保存下来,关于token的好处Jenkins也进行了说明,大家可以看看。我自己认为可能是为了安全吧,比如我们对外提供一个token而不是密码,当我们想要收回这个操作权限的时候,我们只需要把token删除掉就好了,而不需要去修改密码。
在这里插入图片描述
OK,添加完成token,然后再去调用请求,发现可以通过,这个问题也算解决了。

// 推荐使用token  
String JENKINS_TOKEN = "112c7c08043e02449e7fb97d253a657ede";

/**
 * 单独提取的一个公共方法
 *
 * @param url 请求地址
 * @param httpRequest 请求方法对象
 * @return
 */
private String customHttpMsg(String url, HttpRequest httpRequest) throws URISyntaxException, IOException {
    URI uri = new URI(url);
    HttpHost host = new HttpHost(uri.getHost(), uri.getPort());
    CredentialsProvider credentialsProvider = new BasicCredentialsProvider();
	// 注意这边  我把密码换成了token
    credentialsProvider.setCredentials(new AuthScope(uri.getHost(), uri.getPort()),
            new UsernamePasswordCredentials(JENKINS_USERNAME, JENKINS_TOKEN));
    AuthCache authCache = new BasicAuthCache();
    BasicScheme basicScheme = new BasicScheme();
    authCache.put(host,basicScheme);
    try (CloseableHttpClient httpClient = HttpClients.custom().setDefaultCredentialsProvider(credentialsProvider).build()) {
        HttpClientContext httpClientContext = HttpClientContext.create();
        httpClientContext.setAuthCache(authCache);
        CloseableHttpResponse response = httpClient.execute(host, httpRequest, httpClientContext);
        return EntityUtils.toString(response.getEntity(), StandardCharsets.UTF_8);
    }
}

// 使用token 调用OK
@Test
public void testAddWithToken() throws IOException, URISyntaxException {
    // http://192.168.1.107:8081/jenkins/createItem/api/json?name=test
    String url = JENKINS_URL+"/createItem/api/json?name="+JENKINS_PROJECT_NAME;
    HttpPost httpPost = new HttpPost(url);
    httpPost.setEntity(new StringEntity(JENKINS_PROJECT_XML, ContentType.create("text/xml", "utf-8")));
    String res = customHttpMsg(url, httpPost);
    log.info("res is {}", res);
}

项目地址:https://github.com/yzh19961031/blogDemo/tree/master/jenkins_api
所有的代码都在代码仓上面,大家有兴趣或者有疑问可以去看看。

Yuandupier
关注
  • 24
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
电子电路模拟器CRUMB.Circuit
08-20
STEAM上的一款电路模拟神器 — CRUMB Circuit Simulator,电路仿真,这几天在逛steam商店时,发现了一款有意思的电路仿真软件CRUMB Circuit Simulator(CRUMB电路模拟器),觉得挺有意思的,就下载了玩了一下。...
Android代码-crumb
08-07
Crumb Crumb is an annotation processor that exposes a simple and flexible API to breadcrumb metadata across compilation boundaries. Working with ...This is where Crumb comes in. Crumb's API is
Error 403 No valid crumb was included in the request 报错解决 容器化jenkins关闭CSRF
TinaSprunt的开发笔记
01-27 1万+
现象 gitlab 连接 安装在容器中的jenkins时,如果使用的是高版本的jenkins,会出现403错误,Error 403 No valid crumb was included in the request 原因 实际上这是因为jenkins的防止跨站点请求伪造(Prevent Cross Site Request Forgery exploits)阻拦了请求 本来低版本的jenkins可以在界面把这个关掉,但是高版本的jenkins认为这个是必要的,直接把关闭这个的界面干掉了,orz… 解决办法
jenkins 403 No valid crumb was included in the request 解决方案
分享我的编程经验和学习心得
10-24 8243
一、在请求头加上 crumb 我现在要使用 webhook 发一个 post 请求给 jenkins,结果报了 403 错误。一个可行的解决方案就是给这个请求头加上 crumb。 在桌面右击空白处点击 git bash, 输入以下命令获取 crumb:curl -u user:password "http://192.168.150.188:8000/crumbIssuer/api/xml?xpath=concat(//crumbRequestField,%22:%22,//crumb)" 上面的 use
解决Jenkins出现No valid crumb was included in the reques
qq_50247813的博客
05-21 685
在使用反向代理时,如果Jenkins设置中勾选了“PreventCrossSiteRequestForgeryexploits”,代理服务器会认为.crumb为非法头部而去掉,导致跳转失败。但是实际上,新版的Jenkins这个选项是不可选的,默认就已经存在。在nginx的反向代理配置的server块中添加 一条 ignore_invalid_headers off;到此我的Jenkins就正常了,根据我百度得来的方法,在nginx里面还需要加一条配置。Manage Jenkins --> 全局安全配置。
git使用webhook触发Jenkins构建问题Error 403 No valid crumb was included in the reques和Authentication required
weixin_55413139的博客
08-21 969
如出现:This configuration is unavailable because the System property hudson.security.csrf.GlobalCrumbIssuerConfiguration.DISABLE_CSRF_PROTECTION is set to true.另外 由于Jenkins新版本中不再提供防止跨站点请求伪造的勾选框 所以需要修改Jenkins启动项。在Jenkins设置中反选此功能即可解决。勾选 匿名用户具有可读权限。重启jenkins容器。
[Jenkins]Error:403 No valid crumb was included in the request
Vimiix's Blog
01-31 2271
错误备忘 配置 jenkins 的时候,一直报这个错,是因为 jenkins 默认安全设置里面开启了 防止款站点请求伪造。 方法: 取消勾选这一项,就可以成功集成了 位置: Jenkins > 全局安全配置 > CSRF Protection 以前配置的时候都会上来先关掉这个,今天忘记了,一直报标题的错误。特记录下来,防止自己以后再忘记。 附:让jenkins以ro
jenkins error: "No valid crumb was included in the request"
热门推荐
赖进杰的专栏
04-11 3万+
jenkins error: "No valid crumb was included in the request" 一、问题描述(Problem Description): 在jenkins中创建新任务时候选择“拷贝已存在任务”,点击OK,跳转到下一步时候弹出如下错误信息:"No valid crumb was included in the request" jenki
Spat Crumb
10-24
在IT行业中,特别是与字体相关的标签,我们可以将其理解为一种特殊的字体样式或者是一种用于改善文本可读性和视觉效果的技术。然而,由于提供的信息非常有限,没有具体的上下文或详细描述,我们只能进行一些基本的...
CRuMb-node:NodeJS上的CRuMb CRM
07-05
屑 适用于啤酒行业的非常小巧轻便的 CRM
Jenkins出现No valid crumb was included in the reques
weixin_33800593的博客
01-29 696
前提 今天登陆Jenkins时,觉得使用tomcat默认的8080端口麻烦,便使用Nginx做了一个反向代理。于是出现了以下错误 1. 问题描述 Jenkins配置好ssh server点击保存时出现如下错误: 2. 原因 Jenkins在http请求头部中放置了一个名为.crumb的token。在使用反向代理时, 如果Jenkins设置中勾选了“Prevent Cross Site Req...
Spinnaker调用Jenkins API 返回403错误
Jerry00713的博客
08-02 1232
让人头疼的是较高版本的Jenkins竟然在管理页面关闭不了CSRF,网上搜索到的资料有写通过 groovy代码 实现取消保护,但是笔者操作未成功,最后,Get到了一种成功的解决姿势。前段时间,k8s生产环境中选择使用Spinnaker + Jenkins实现CI/CD,但是我在Spinnaker执行构建走到调用jenkins的时候出错。因为Spinnaker是通过跨站的方式调用Jenkins,那么Jenkins默认是开启CSRF保护,所以jenkins就会返回一个403报错。把CSRF保护的勾取消即可。..
HTTP ERROR 403 No valid crumb was included in the request
qingcyb的博客
11-23 1285
3.2 修改JENKINS_JAVA_OPTIONS,并保存修改。3、新版本不支持页面修改,故需要修改jenkins配置文件。开启了csrf,即跨站请求伪造。3.3 重启jenkins。3.1 进入编辑配置文件。
Jenkins 使用过程的错误记录(12)
最新发布
hmx224_2014的专栏
02-27 702
版本:Jenkins2.303.1。
jenkins服务会自动停掉原因分析(二)
weixin_43997319的博客
08-18 2089
根据日志查看原因可能是令牌失效由于报错推测是安全问题引起,应该是问题,查看更新日志,如下。
「Jenkins」- No valid crumb was included in request for /ajaxExecutors @20210305
k4nz
03-05 1454
问题描述 在 Jenkins 2.275 中,出现如下日志消息: # tail -f /var/log/jenkins/jenkins.log ... 2021-03-01 11:13:06.565+0000 [id=15] WARNING hudson.security.csrf.CrumbFilter#doFilter: No valid crumb was included in request for /ajaxBuildQueue by k4nz. Returning 403. 2.
Jenkins 远程触发 403 No valid crumb was included in the request
qq_42278595的博客
01-31 148
高版本Jenkins需要使用脚本命令的设置关闭CSRF,输入一下内容执行。
http error 403 no valid crumb was included in the request
03-16
这个错误是因为在请求中没有包含有效的 crumb 导致的。crumb 是一种防止跨站请求伪造(CSRF)攻击的机制,它会在每个请求中生成一个唯一的标识符,服务器会验证这个标识符来确保请求是合法的。 如果你遇到了这个错误,可以尝试重新生成 crumb 并将其包含在请求中。具体的方法可能因不同的应用程序而异,你可以查看应用程序的文档或联系开发人员以获取更多帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值