Prevenzione delle falsificazioni di richiesta del sito

Per prevenire gli attacchi di tipo cross site request forgery, tutte le chiamate API delle operazioni cloud richiedono che il token IBM-CSRF-Token sia impostato nell'intestazione HTTP di ogni richiesta.

Nota: questa funzione non si applica a IBM® Operational Decision Manager on Cloud.

L'applicazione operativa deve ottenere il token CSRF chiamando l'API REST

POST
/instance/services/csrf_token

con un corpo JSON simile all'esempio seguente:

{
  "requested_lifetime": 7200
}

La proprietà requested_lifetime definisce il numero di secondi per cui il token è valido. Se non si specifica un valore, viene utilizzato il valore predefinito di 7200 seconds, ovvero il valore massimo consentito. È necessario inviare sempre un payload con la chiamata, anche se vuota. Il token viene restituito come stringa nella proprietà csrf_token dell'oggetto risposta.

Se una chiamata contiene un token scaduto, fallisce con il codice di risposta HTTP 403 e l'erroreCWMGG0015E: The request was blocked because the IBM-CSRF-TOKEN token header is not validnella risposta. Per richiamare un nuovo token, l'applicazione delle operazioni deve richiamare nuovamente l'operazione POST /instance/services/csrf_token . L'applicazione può quindi utilizzare il nuovo token per ripresentare la richiesta non riuscita.