标签：跨站 CSRF 配置 保护 关闭 Jenkins csrf

前言

根据官网描述，Jenkins版本自2.204.6以来的重大变更有：删除禁用 CSRF 保护的功能。 从较旧版本的 Jenkins 升级的实例将启用 CSRF 保护和设置默认的发行者，如果之前被禁用。

虽然删除了禁用csrf保护功能，增加了安全性，但是在一些结合Gitlab、Spinnaker等等工具进行持续集成过程中就增加了一些认证环节，若没有进行相关配置，得到的一定是403的报错。因为集成服务都是在内网操作，为删繁就简，笔者便考虑关闭 CSRF 保护功能，于是乎，对此展开了摸索……

方案

老版本Jenkins的CSRF保护功能只需要在 系统管理 > 全局安全配置 中便可进行打开或者关闭。让人头疼的是较高版本的Jenkins竟然在管理页面关闭不了CSRF，网上搜索到的资料有写通过 groovy代码 实现取消保护，但是笔者操作未成功，最后，Get到了一种成功的解决姿势。

在Jenkins启动前加入相关取消保护的参数配置后启动Jenkins，即可关闭CSRF，配置内容如下：

-Dhudson.security.csrf.GlobalCrumbIssuerConfiguration.DISABLE_CSRF_PROTECTION=true

Jenkins若是跑在Tomcat下，只需在tomcat启动脚本中加入配置即可；若是以jar包形式部署的，只需在启动时加上配置参数即可。

笔者Jenkins是部署在k8s环境中，故启动参数配置在yaml文件中，如下：

]# cat dp.yaml |grep csrf -C5

### 配置后重启Jenkins，在全局安全配置中可看到CSRF保护功能已关闭

标签：跨站,CSRF,配置,保护,关闭,Jenkins,csrf
来源： https://www.cnblogs.com/lgj8/p/14675562.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。