Prévention de la falsification de requêtes entre sites (CSRF)

Pour empêcher des attaques de type CSRF (Cross Site Request Forgery), le jeton IBM-CSRF-Token doit être défini dans l'en-tête HTTP de chaque demande pour tous les appels API d'opérations de cloud.

Note : Cette fonction ne s'applique pas aux IBM® Operational Decision Manager on Cloud.

Votre application opérationnelle doit obtenir le jeton CSRF en appelant l'API REST

POST
/instance/services/csrf_token

avec un corps JSON similaire à l'exemple suivant :

{
  "requested_lifetime": 7200
}

La propriété requested_lifetime définit le nombre de secondes pendant lequel le jeton est valide. Si vous ne spécifiez pas une valeur, la valeur par défaut, soit 7200 secondes, est utilisée. Il s'agit également de la valeur maximale permise. Vous devez toujours envoyé un contenu avec l'appel, même s'il est vide. Le jeton est renvoyé sous la forme d'une chaîne dans la propriété csrf_token de l'objet réponse.

Si un appel contient un jeton expiré, il échoue avec le code de réponse HTTP 403 et l'erreurCWMGG0015E: The request was blocked because the IBM-CSRF-TOKEN token header is not valid:NONE. Pour extraire un nouveau jeton, votre application d'opérations doit à nouveau appeler l'opération POST /instance/services/csrf_token. L'application peut alors utiliser le nouveau jeton pour soumettre à nouveau la demande qui avait échoué.