Azure Web App Reverse Proxy 后面的 Sonarqube 6.3.1:API 发布请求中的 401/请求中的错误 CSFR

【问题标题】:Sonarqube 6.3.1 behind Azure Web App Reverse Proxy: 401 on API post requests / Wrong CSFR in requestAzure Web App Reverse Proxy 后面的 Sonarqube 6.3.1:API 发布请求中的 401/请求中的错误 CSFR
【发布时间】:2017-10-20 18:24:22
【问题描述】:

我正在尝试使用 .NET Core's proxy library 在 Azure Web 应用程序后面设置 Sonarqube。这听起来可能很奇怪,但由于 Web 应用程序会自动提供 SSL 证书,而且我无法获得自定义域,我认为这个解决方案对我来说是最简单的;)

现在经过一番尝试,一切都很好,网站在浏览器中没有任何错误,可以使用 Sonar 登录或 Azure Active Directory 登录。

但在我的构建过程中,无法将分析结果发布到服务器。响应总是 401。

我检查了 Sonarqube 日志,发现以下对应条目:

在 Web.log 中

DEBUG web[...][auth.event] login failure [cause|Wrong CSFR in request][method|JWT][provider|LOCAL|local][IP|some ip|actual client ip:37390][login|admin]

在 access.log 中:

some ip - - [...] "POST /api/ce/submit HTTP/1.1" 401 - "-" "Mozilla/5.0 ..." "..."

因此,我可以看到实际的声纳请求来自不同的 IP,可能是因为网络设置或任何其他 Azure 魔法。

我不知道如何解决这个问题:D

我的反向代理解决方案非常简单。基本上我使用一个简单的空 ASP.NET Core 应用程序并在 Startup.cs 中集成反向代理功能,如下所示:

app.RunProxy(new ProxyOptions
{
    BackChannelMessageHandler = new HttpClientHandler
    {
        CheckCertificateRevocationList = false,
        ServerCertificateCustomValidationCallback = (message, certificate2, arg3, arg4) => true,
        AllowAutoRedirect = true,
        AutomaticDecompression = DecompressionMethods.GZip,
        CookieContainer = new CookieContainer
        {
            Capacity = int.MaxValue,
            MaxCookieSize = int.MaxValue,
            PerDomainCapacity = int.MaxValue
        }
    },
    Scheme = serverConfiguration.Scheme,
    Host = serverConfiguration.Host,
    Port = serverConfiguration.Port,

});

我还添加了一些中间件来添加 X_FORWARDED_PROTO 标头,并检查 X-Forwarded-For 标头是否配置正确。我还将 Azure IIS 配置为不通过 web.config 方式截断大型请求中的查询参数或内容。

我还尝试伪造它并将 X-Forwarded-For IP 设置为向 Sonarqube 发送实际请求但无效的 IP。

有人知道如何解决这个问题吗? :) 因为这只是一个 POC 设置,我很想关闭 CSRF 检查,但我找不到任何配置。任何帮助,将不胜感激。

编辑 + 当前解决方案

对我最初的解决方案进行更多思考,问题变得非常清楚。我正在尝试使用Azure App Service's VNet Integration Feature 连接到服务器。这在代理站点和实际服务器之间提供了安全的 VPN 连接。但这也会导致 IP 与预期不同:

Client [Client IP] -> Web App Proxy [Proxy Public IP] -> VNet VPN [VPN IP of the Web App == some ip in the logs] -> Sonarqube => 401 CSRF error

我猜X-Fowarded-For 链在这种情况下不正确,我不知道如何解决。

现在,作为一种解决方法,我向 Sonarqube 服务器添加了一个公共 IP,并将网络安全组配置为仅允许来自 Web 应用程序的流量(使用提供的 Web 应用程序的传出 IP 地址)。使用该解决方案一切正常:)

我仍然想促进 VNet 集成功能,所以如果有人有想法,请告诉我 :)

【问题讨论】:

  • 根据您的描述,我猜您在请求中得到错误 CSFR 的原因是您的 jwt 令牌(存储在库克中)的 CSRF_JWT_PARAM 与您请求的 CSRF_HEADER 值不相等。所以我建议您在将请求重定向到本地服务器时检查请求的标头。
  • 嗯,我想我可以在代理实现中修改 JWT,但不知何故我对此有一种不好的感觉:D 这是代理的默认方式吗?我认为唯一需要的就是X-Forwarded-For 链?
  • 据我所知,CSFR令牌是用来防止跨站请求攻击的。现在,您要做的是添加一个中间站点以将请求重定向到您的本地服务器。这是跨站。所以你会遇到这个问题,因为 sonarqube 会检查 CSFR 令牌。正如我所说,原因是 CSFR 令牌,两个站点的请求不一样。更多细节,我建议你可以参考这篇文章:stackoverflow.com/a/33829607/7609093。这不是一个好方法,我建议您使用常规方式购买自定义域并将其与您的服务器绑定或使用VNET。

标签: azure sonarqube .net-core azure-web-app-service reverse-proxy


【解决方案1】:

我们在 Apache 背后的 Sonar 与使用 SSO 的反向代理存在相同的问题。 Apache 将代理请求中的 SSO 标头发送到声纳。

我已将此问题作为错误报告给 google 组:

“即使使用 SSO,Sonar 原生登录表单也会随机显示”

https://groups.google.com/forum/#!msg/sonarqube/o2p2ZmjqRN8/UAZZF3tMBgAJ

我发现,apache 为不同的用户重复使用一个连接。用户 A 来自 Apache-Sonar 连接 1,然后 Apache 将此连接重用于其他用户 B 的其他请求,然后同一 Apache-Sonar 连接中的下一个请求用于来自用户 A 的新请求。该请求随后被归类为未经授权,Sonar 生成登录表单,尽管 Apache 请求包含带有 SSO 登录数据的标头。

今天,我激活了DEBUG日志,发现“请求中的CSFR错误”的消息。它看起来很像 CSFR 保护,但有一些错误,好像代码确实忽略了用户名或类似的东西。

问候,

罗伯特。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2020-12-13
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-06-19
    • 2015-01-07
    • 2017-06-03
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode