Имя: Пароль:
IT
 
 Включение CSRF токена для HTTP сервиса
0 val245
 
30.03.23
15:25
Доброго времени суток
На IIS опубликован HTTP сервис. Стороннее приложение требует CSRF токен. Кто может подсказать, как его активировать на 1С-ском сервере?
1 val245
 
30.03.23
16:16
up
2 arsik
 
гуру
30.03.23
16:23
У тебя смешалось в кучу все. Или я ничего не понимаю.
Если у тебя развернут HTTP сервис то тебе решать как к нему будут сторонние приложения обращаться.
3 val245
 
30.03.23
16:32
Мне нужно включить CSRF токен на моем сервере
4 mikecool
 
30.03.23
19:28
https://yandex.ru/search/?text=включить+CSRF+токен+IIS&lr=117988
не благодари
5 val245
 
31.03.23
08:19
(4) Спасибо. Я умею пользоваться гуглом. Но ничего дельного не нашел. Разве что добавить в файл web.config запись
<httpProtocol>
    <customHeaders>
       <add name="X-CSRF-Token" value=""/>
    </customHeaders>
</httpProtocol>
Но это не помогло
6 val245
 
31.03.23
10:57
up
7 eklmn
 
гуру
31.03.23
13:56
(6) смысл апать, если ты даже не понимаешь что это такое?
8 val245
 
31.03.23
14:38
(7) У меня есть HTTP сервис на 1с. Работает норм. Создал для него swagger. Передал его json веб-разработчикам. Они его загрузили, все работает, но при получении данных используют X-CSRF-TOKEN для безопасности и выходит ошибка. Когда отключают X-CSRF-TOKEN, swagger получает данные. Но его не желательно отключать. Вопрос, как с моей стороны включить его проверку? HTTP сервис опубликован на 1С. Может так яснее?
9 val245
 
31.03.23
14:39
(8) HTTP сервис поубликован на IIS
10 eklmn
 
гуру
31.03.23
14:40
есть переводчики для (8) в ветке?
11 val245
 
31.03.23
14:43
(10) что не ясно?
12 arsik
 
гуру
31.03.23
14:48
(11) Как клиент проходит авторизацию на http сервисе?
13 val245
 
31.03.23
14:49
логин и админ из 1С
14 val245
 
31.03.23
14:51
проблема именно в сервисе swagger. У него там настроена авторизация X-CSRF-TOKEN. Остальные приложения подключаются с помощью логина и пароля и не ругаются
15 arsik
 
гуру
31.03.23
14:51
(13) Ну и зачем тогда этот токен нужен? Он при каждом запросе авторизацию проходит.
16 val245
 
31.03.23
14:58
Не знаю. Там swagger не только для моих HTTP-сервисов, но и для других приложений. поэтому X-CSRF-TOKEN отключать не хотят. Проврка токена происходит на веб-сервере, до 1С не доходит. Не могу найти в инете, как его включить на IIS
17 arsik
 
гуру
31.03.23
15:11
(16) Я всегда считал, что подобные X-CSRF-TOKEN выдается при авторизации. Ну если авторизация происходит на 1с сервере, то 1С и должна выдавать его. Но у 1С каждый запрос к серверу проходит авторизацию, а значит X-CSRF-TOKEN бессмысленный.
18 val245
 
31.03.23
15:16
Возможно. На их программе можно отключить только для всех swagger-ов. Если б отключили только для моего, было б замечательно. Но как его обойти? И можно ли включить на IIS. Нашел только, что можно включить, прописав в web.config, но это не решило проблему
19 arsik
 
гуру
31.03.23
15:24
(18) Ну попробуй в каждом ответе из 1С , в заголовке, отдавать любой токен, или один и тот же например
'X-CSRF-Token': token
20 val245
 
31.03.23
15:28
До 1С не доходит. Еще на веб-сервере не проходит проверку
21 arsik
 
гуру
31.03.23
15:35
Ну отключи на вебсервере проверку токена
22 eklmn
 
гуру
31.03.23
15:38
🤡
23 val245
 
31.03.23
15:46
(21) вот и я об этом. Как?
24 arsik
 
гуру
31.03.23
15:58
(23) Отключи авторизацию на вебсервере.
25 val245
 
03.04.23
11:17
При отключении авторизации на IIS при получении данных выходит ошибка
26 val245
 
03.04.23
11:19
Неужели ни у кого не возникала такая проблема? Записываю X-CSRF-TOKEN в загловок в конфигурационном файле сервиса, но это не помгает...
27 Грю
 
05.04.23
04:44
(0) Скажи пользователям стороннего приложения чтобы сами решали свою проблему, а не перекладывали ее на тебя. Пусть его отключают со своей стороны, гуглят, пишут на форумах вопросы. Тебе CSRF токен не нужен, значит и включать его нет надобности.
28 Statiko
 
05.04.23
07:00
круто