跳转到内容

Jenkins CSRF保护

来自代码酷
Admin留言 | 贡献2025年5月1日 (四) 22:17的版本 (Page creation by admin bot)

(差异) ←上一版本 | 已核准修订 (差异) | 最后版本 (差异) | 下一版本→ (差异)

Jenkins CSRF保护[编辑 | 编辑源代码]

跨站请求伪造(CSRF)保护是Jenkins安全机制的重要组成部分,用于防止恶意网站利用用户的登录状态发起未经授权的操作。本篇文章将详细介绍Jenkins中的CSRF保护机制,包括其原理、配置方法以及实际应用案例。

什么是CSRF攻击?[编辑 | 编辑源代码]

CSRF(Cross-Site Request Forgery)是一种网络攻击方式,攻击者诱骗用户在已登录目标系统(如Jenkins)的情况下,执行非预期的操作。例如,攻击者可能通过恶意网页发送伪造的HTTP请求,导致用户在不知情的情况下触发Jenkins的构建、配置更改或删除操作。

Jenkins通过Crumb机制来防御CSRF攻击。Crumb是一个随机生成的令牌(Token),客户端必须在请求中附带该令牌,Jenkins才会处理请求。

Jenkins中的CSRF保护机制[编辑 | 编辑源代码]

Jenkins默认启用CSRF保护,通过以下方式实现:

  • 每个会话生成一个唯一的Crumb值。
  • 客户端(如浏览器或API调用)必须在HTTP请求头(如Jenkins-CrumbX-Requested-With)中包含该Crumb值。
  • Jenkins验证Crumb的有效性,若无效则拒绝请求。

获取Crumb[编辑 | 编辑源代码]

可以通过Jenkins的API获取当前会话的Crumb值: 

# 获取Crumb(使用curl)
curl -u "用户名:API令牌" "http://jenkins-server/crumbIssuer/api/json"

输出示例: 

{
  "_class": "hudson.security.csrf.DefaultCrumbIssuer",
  "crumb": "a1b2c3d4e5f6g7h8i9j0",
  "crumbRequestField": "Jenkins-Crumb"
}

在API请求中使用Crumb[编辑 | 编辑源代码]

在发送修改操作的API请求时(如触发构建),必须附带Crumb: 

# 触发一个Job(需附带Crumb)
curl -X POST -u "用户名:API令牌" \
  -H "Jenkins-Crumb: a1b2c3d4e5f6g7h8i9j0" \
  "http://jenkins-server/job/my-job/build"

配置CSRF保护[编辑 | 编辑源代码]

Jenkins的CSRF保护可以通过以下方式配置:

启用/禁用CSRF保护[编辑 | 编辑源代码]

1. 进入 Manage Jenkins > Security > Configure Global Security。 2. 在 CSRF Protection 部分勾选或取消勾选 Prevent Cross Site Request Forgery exploits。 3. 保存设置。

自定义Crumb Issuer[编辑 | 编辑源代码]

如果需要更严格的验证逻辑,可以自定义Crumb Issuer: 1. 在 Manage Jenkins > Security > Configure Global Security 下选择 Crumb Issuer。 2. 可选配置包括: 

  * 排除某些HTTP方法(如GET)。
  * 设置Crumb的有效期。

实际案例[编辑 | 编辑源代码]

案例1:自动化脚本中的CSRF保护[编辑 | 编辑源代码]

假设你有一个自动化脚本需要定期触发Jenkins Job,但直接调用API会被CSRF保护拦截。解决方法是在脚本中动态获取Crumb: 

import requests
from requests.auth import HTTPBasicAuth

jenkins_url = "http://jenkins-server"
username = "admin"
api_token = "your-api-token"

# 获取Crumb
crumb_response = requests.get(
    f"{jenkins_url}/crumbIssuer/api/json",
    auth=HTTPBasicAuth(username, api_token)
crumb_data = crumb_response.json()

# 触发Job
response = requests.post(
    f"{jenkins_url}/job/my-job/build",
    auth=HTTPBasicAuth(username, api_token),
    headers={crumb_data["crumbRequestField"]: crumb_data["crumb"]}
)

print(response.status_code)  # 输出201表示成功

案例2:浏览器中的CSRF攻击模拟[编辑 | 编辑源代码]

假设攻击者构造了一个恶意网页,试图删除Jenkins中的某个Job: 

<!-- 恶意网页 -->
<form action="http://jenkins-server/job/important-job/doDelete" method="POST">
  <input type="submit" value="点击领取奖品">
</form>

由于Jenkins的CSRF保护机制,该请求会被拒绝,除非附带有效的Crumb值。

常见问题[编辑 | 编辑源代码]

1. 为什么我的API请求被拒绝?[编辑 | 编辑源代码]

可能原因:

  • 未附带Crumb。
  • Crumb已过期(如会话变更后未更新)。
  • 未正确设置请求头。

2. 如何为反向代理环境配置CSRF保护?[编辑 | 编辑源代码]

如果Jenkins运行在反向代理(如Nginx)后,需确保代理传递正确的X-Forwarded-HostX-Forwarded-Proto头部,否则Crumb验证可能失败。

总结[编辑 | 编辑源代码]

Jenkins的CSRF保护机制通过Crumb令牌有效防止了跨站请求伪造攻击。无论是通过浏览器还是API访问Jenkins,都应确保正确处理Crumb值。对于自动化脚本,务必动态获取并附加Crumb;对于前端应用,需遵循Jenkins的API规范。

检索自“https://wiki.echo.cool/index.php?title=Jenkins_CSRF保护&oldid=12699