CsrfToken-HowTo: Unterschied zwischen den Versionen
(→Einzeiler: Um weiteres Beispiel ergänzt) |
K (&XHR=1 nach ?XHR=1 geändert) |
||
| Zeile 13: | Zeile 13: | ||
muss jetzt etwas ergänzt werden. Mit dem Einzeiler | muss jetzt etwas ergänzt werden. Mit dem Einzeiler | ||
<nowiki>curl -s -D - 'http://localhost:8083/fhem | <nowiki>curl -s -D - 'http://localhost:8083/fhem?XHR=1' | awk '/X-FHEM-csrfToken/{print $2}'</nowiki> | ||
kann man den aktuellle csrfToken aus dem Header extrahieren und muss ihn nur noch an den Aufruf anhängen. | kann man den aktuellle csrfToken aus dem Header extrahieren und muss ihn nur noch an den Aufruf anhängen. | ||
Erste Variante: | Erste Variante: | ||
<nowiki>curl --data-raw "fwcsrf=$(curl -s -D - 'http://localhost:8083/fhem | <nowiki>curl --data-raw "fwcsrf=$(curl -s -D - 'http://localhost:8083/fhem?XHR=1' | awk '/X-FHEM-csrfToken/{print $2}')" http://localhost:8083/fhem?cmd=set%20Office%20on</nowiki> | ||
Zweite Variante, in dieser wird cr+lf am Ende des ermittelten csrfTokens abgeschnitten: | Zweite Variante, in dieser wird cr+lf am Ende des ermittelten csrfTokens abgeschnitten: | ||
<nowiki>curl "http://fhem.example.org:8083/fhem?cmd=set%20Office%20on | <nowiki>curl "http://fhem.example.org:8083/fhem?cmd=set%20Office%20on?XHR=1&fwcsrf="`curl -s -D - 'http://fhem.example.org:8083/fhem?XHR=1' | awk '/X-FHEM-csrfToken/{print $2}' | tr -d "\r\n"`</nowiki> | ||
Man kann auch in Scripten den token zunächst abspeichern: | Man kann auch in Scripten den token zunächst abspeichern: | ||
<nowiki>token=$(curl -s -D - 'http://localhost:8083/fhem | <nowiki>token=$(curl -s -D - 'http://localhost:8083/fhem?XHR=1' | awk '/X-FHEM-csrfToken/{print $2}') | ||
curl --data "fwcsrf=$token" http://localhost:8083/fhem?cmd=set%20Office%20on</nowiki> | curl --data-raw "fwcsrf=$token" http://localhost:8083/fhem?cmd=set%20Office%20on</nowiki> | ||
==API Web== | ==API Web== | ||
Version vom 5. März 2017, 01:21 Uhr
FHEM hat mit der Version 5.8 eine Sicherheitsmaßnahme scharfgeschaltet, den csrfToken. Dieser Token wird bei jedem Neustart von FHEM neu gebildet.
Diese Feature erhöht die Sicherheit, führt aber dazu, dass man nicht mehr mit einem einfachen http Link auf das FHEMWEB zugreifen kann.
Einzeiler
Was früher so ging:
http://localhost:8083/fhem?cmd=set%20Office%20on
muss jetzt etwas ergänzt werden. Mit dem Einzeiler
curl -s -D - 'http://localhost:8083/fhem?XHR=1' | awk '/X-FHEM-csrfToken/{print $2}'
kann man den aktuellle csrfToken aus dem Header extrahieren und muss ihn nur noch an den Aufruf anhängen. Erste Variante:
curl --data-raw "fwcsrf=$(curl -s -D - 'http://localhost:8083/fhem?XHR=1' | awk '/X-FHEM-csrfToken/{print $2}')" http://localhost:8083/fhem?cmd=set%20Office%20on
Zweite Variante, in dieser wird cr+lf am Ende des ermittelten csrfTokens abgeschnitten:
curl "http://fhem.example.org:8083/fhem?cmd=set%20Office%20on?XHR=1&fwcsrf="`curl -s -D - 'http://fhem.example.org:8083/fhem?XHR=1' | awk '/X-FHEM-csrfToken/{print $2}' | tr -d "\r\n"`
Man kann auch in Scripten den token zunächst abspeichern:
token=$(curl -s -D - 'http://localhost:8083/fhem?XHR=1' | awk '/X-FHEM-csrfToken/{print $2}')
curl --data-raw "fwcsrf=$token" http://localhost:8083/fhem?cmd=set%20Office%20on
API Web
Falls man ohne den Token arbeiten will könnte man ein eigenes API Web erstellen und den Zugriff darauf beschränken. In vorhandenen Scripten / Applikationen müsste dann lediglich der Port geändert werden.
define WEBapi FHEMWEB 8088 global attr WEBapi csrfToken none attr WEBapi allowFrom 192.168.178.83|127.0.0.1
Im Forum ist ganz gut beschrieben wie man die Gestaltung des regEx für die IP Adresse machen kann -> Links
csrfToken festlegen
Dies kann man tun, falls die dynamische Abfrage zur Laufzeit des Tokens nicht möglich ist.
attr WEB.* csrfToken <beliebige Folge aus Zeichen und Zahlen>
Damit können feste URLs verwendet werden:
http://localhost:8083/fhem?cmd=set%20Office%20on&fwcsrf=<fester token>
csrfToken abschalten
Dies sollte man als erste Hilfe tun, aber unbedingt darüber nachdenken wie man die Applikation umstellt.
attr WEB.* csrfToken none
Featurelevel
Eine weitere temporäre Notfallmaßnahme wäre den Featurelevel nach dem Update einfach wieder zurückzudrehen
attr global featurelevel 5.7