Jenkins里的Crumb

最新推荐文章于 2023-12-07 16:39:33 发布
最新推荐文章于 2023-12-07 16:39:33 发布
阅读量4k 收藏 2
点赞数 1
分类专栏: 开发相关 文章标签: jenkens
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjxht62/article/details/118164376
版权

Crumb的作用

CSRF Protection

首先解释一下CSRF,Cross-Site Request Forgery(CSRF或XSRF)跨站请求伪造,是一种web安全漏洞。如果没有CSRF保护,Jenkins的admin访问其他网站,将允许这个网站对Jenkins执行操作,导致Jenkins受害。

Jenkins 中的 CSRF 保护

Jenkins的CSRF保护使用token(在Jenkins里叫crumb),它由Jenkins创建,并发送给用户。任何导致修改的表单提交或者类似的操作,比如:触发任务或修改构建配置,都需要提供Crumb。crumb 包含标识创建它的用户的信息,因此使用另一个用户的token提交将被拒绝。

设置CSRF保护

Manage Jenkins » Configure Global Security » CSRF Protection 中,管理员可以配置 CSRF Protection。

在这里插入图片描述

默认的Crumb Issuer,生成crumb的哈希,并在其中编码以下的信息

  • 为其生成crumb的用户名
  • 生成crumb的网络会话 ID
  • 为其生成crumb的用户的 IP 地址
  • 此 Jenkins 实例独有的salt

当面包屑被发送回 Jenkins 时,所有这些信息都需要匹配,以便该提交被视为有效。

在脚本里使用

发给Jenkins的POST请求通常需要提供crumb。这也适用于使用用户名和密码进行身份验证的脚本客户端。由于 crumb 包含网络会话 ID,客户端需要执行以下操作:

  • /crumbIssuer/api 发送请求,请求面包屑。注意 Set-Cookie响应头
  • 对于所有后续请求,除了用户名和密码之外,还提供 crumb 和会话 cookie。

或者使用用户名和 API Token 进行身份验证。
使用API Token的话,即使Jenkins打开了CSRF保护,也不需要提供crumb

zjxht62
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Jenkins打包插件配置
03-12
mac/用户/.jenkins/plugins
解决Jenkins出现No valid crumb was included in the reques
qq_50247813的博客
05-21 595
在使用反向代理时,如果Jenkins设置中勾选了“PreventCrossSiteRequestForgeryexploits”,代理服务器会认为.crumb为非法头部而去掉,导致跳转失败。但是实际上,新版的Jenkins这个选项是不可选的,默认就已经存在。在nginx的反向代理配置的server块中添加 一条 ignore_invalid_headers off;到此我的Jenkins就正常了,根据我百度得来的方法,在nginx面还需要加一条配置。Manage Jenkins --> 全局安全配置。
Jenkins基础:API:创建Job的CSRF问题对应
知行合一 止于至善
05-30 6144
使用Jenkins API创建Job是出现了No valid crumb was included in the request的错误提示,memo一下原因和对应方法。 现象 liumiaocn:jenkins liumiao$ curl -X POST -u root:liumiaocn -H "Content-Type:application/xml" -d "@demo/freestyle/...
curl调用新版jenkins crumb报错 No valid crumb was included in the request 解决方法
VolcanoCome的博客
12-15 1860
curl调用 高版本jenkins构建 pipeline script crumb报错 No valid crumb was includ
Jenkins报:403 No valid crumb was included in the request
最新发布
cat91的博客
12-07 1184
最近项目使用jenkins自动部署,我用的版本是2.348,关联gitee的webhook时用gitee发送推送测试时一直提示403问题。我这用的Jenkins版本是2.348,研究了一下发现原来是Jenkins新版本默认加入了CSRF设置,还不能页面配置关闭的那种...尝试了网上各种方法,比如增加匿名可读权限,修改config.xml配置等均无效。高版本Jenkins需要使用脚本命令的设置关闭CSRF,输入一下内容执行。再用gitee推送测试,提示成功。后来借鉴一位网友经验。
Jenkins基础:获取Jenkins-Crumb的错误信息与对应方法
知行合一 止于至善
10-18 7646
这篇文章memo一下使用Jenkins 2.176.1 LTS版本获取Jenkins-Crumb所碰到的问题与对应方法。
远程构建(命令、脚本构建)jenkins
indy889的专栏
03-13 880
这个就是由于需要crumb引起,旧jenkins版本,设置了权限 everyone可以执行就行,但新版本不行。4、由于jenkins的安全权限的原因,要Jenkins-CrumbJenkins 报错 Error 403 No valid crumb。2、 添加 API token:进入对应用户的设置页面。1、进入对应项目的设置页面:开启远程构建开关。3、系统设置调整权限,如图。
Jenkins 如何使用 CrumbIssuer 防御 CSRF 攻击
P01son的博客
03-13 4071
使用 CrumbIssuer 防御 CSRF 攻击 1. CSRF简介 CSRF(Cross-site request forgery)跨站请求伪造,通过伪装成受信任用户的请求来利用受信任的网站。 攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:用户Bob可能正在浏览聊天论坛(网站B),而同时攻击者Alice也论坛中,并且刚刚发布了一个含有Bob银行链接(网站A)的图片消息。假如这...
shell命令或脚本 调用远程jenkins并运行job
StudyHappiness的博客
03-15 1917
shell命令调用执行,远程Jenkins中的任务
jenkins 通过使用crumbissuer停止job
weixin_30635053的博客
09-09 549
使用如下方式可以停掉build job: crumb=`curl -X GET http://<ip>:8080/crumbIssuer/api/json --user jenkins:intel@123|grep -Eo 'crumb":".*",' |grep -Eo ':".*?"' | awk -F '"' '{print $2}'`curl -X POST ...
jenkins 403 No valid crumb was included in the request 解决方案
前端求内推-北京/天津/远程
10-24 8051
一、在请求头加上 crumb 我现在要使用 webhook 发一个 post 请求给 jenkins,结果报了 403 错误。一个可行的解决方案就是给这个请求头加上 crumb。 在桌面右击空白处点击 git bash, 输入以下命令获取 crumb:curl -u user:password "http://192.168.150.188:8000/crumbIssuer/api/xml?xpath=concat(//crumbRequestField,%22:%22,//crumb)" 上面的 use
jenkins老版本资源
11-09
jenkins老版本资源
Jenkins常用插件库
03-28
本插件库不可以单独使用,需要配合的`.jenkins`文件夹(该文件夹为Jenkins启动时自动生成的)使用,具体使用步骤如下: 1,正常通过war包或者其他的方式启动Jenkins; 2,找到Jenkins生成的工作目录`.jenkins`,查看...
Jenkins安卓客户端
04-19
jenkins安卓安装包最新版本,可实现手机操作jenkins构建,移动办公的不二之选,简直爽到爆。
jenkins 压缩包自取
09-15
jenkins 压缩包自取
SQL中的count使用
zjxht62的博客
06-03 549
1.首先 我有这么一个表 MariaDB [istester]> select * from istester; +----+--------+------+-------+------------+---------+-------+ | id | uname | sex | birth | department | address | idoxu | +----+--------+------+-------+------------+---------+-------+ | 1 | i
activiti-explorer和activiti-rest本地部署(mysql数据库)
zjxht62的博客
04-01 434
首先下载官方的activiti-5.22.0zip包并解压 前往database->create文件夹,在navicat等工具内执行sql创建数据库 接下来需要修改对应war包内的配置文件 前往wars文件夹,将activiti-explorer.war后缀改成rar并解压 进入\WEB-INF\classes,修改db.properties文件如下所示: db=mys...
Java中instanceof和getClass()的不同
zjxht62的博客
11-23 420
1.两者类型不同 instanceof是Java中的操作符,类似于 ==,>。 getClass()是Object类的方法,可返回Class类型的实例,对其调用其他的方法,可以获得当前类的各种信息 //final方法不允许Override public final Class<?> getClass(); 2.对于继承关系判断的不同 class Music { @Override public String toString() { retur
jenkins gitlab crumb
07-29
Jenkins GitLab crumb is a security feature used to prevent cross-site request forgery (CSRF) attacks when integrating Jenkins with GitLab. CSRF attacks occur when an attacker tricks a user's browser into making a malicious request on their behalf. To use Jenkins with GitLab, you need to obtain a crumb token from GitLab, which is then used in subsequent requests to Jenkins. This token acts as a proof of authenticity and ensures that the request is coming from a trusted source. To obtain the crumb token, you can use the following command: ```bash curl -u <gitlab_username>:<gitlab_password> -X GET "https://<gitlab_instance>/crumbIssuer/api/json" ``` Replace `<gitlab_username>`, `<gitlab_password>`, and `<gitlab_instance>` with your GitLab credentials and instance URL respectively. This command will return a JSON response containing the crumb token. You can then use this crumb token in your Jenkins pipeline or job configurations to authenticate requests made to GitLab APIs. Note: It is important to keep your GitLab credentials secure and avoid exposing them in plain text.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值