wso2apiマネージャーのカーボンページは403Forbiddenを提供します
新しいwso2APIマネージャーをダウンロードし、リンクhttp:// Host_name:9443/carbonを開こうとしました。 403 forbiddenのエラーが発生し、スタックトレースは次のようになります。
- JavaLogger potential cross-site request forgery (CSRF) attack thwarted (user:<anonymous>, ip:127.0.0.1, method:POST, uri:/carbon/admin/login_action.jsp, error:required token is missing from the request)
誰かが何が悪いのか、私が何が欠けているのか考えていますか?
この問題は、JDK 1.8.0_151の bug が原因で発生し、次のアプローチを続行できます。
- ビルド1.8.0_151から1.8.0_144にダウングレードします。
- ただし、のダウングレードを続行できない場合は、Tomcatで圧縮を無効にすることができますrepository/conf/Tomcat/cataloga-server.xml、圧縮をデフォルトの "on"ではなく "off"に切り替えます。
Java 1.8.0_161を使用する場合は、catalina-server.xmlで圧縮された「オフ」を切り替える必要があります。
既知の問題 のため、JDK1.8.0_151を使用しないでください。この問題は、まだリリースされていないJDK1.8.0_162-eaで修正されています。それまではJDK1.8.0_144を使用してください。
参照: https://docs.wso2.com/display/AM210/Installation+Prerequisites
または、( Edgar Tartonの回答 )org.owasp.csrfguard.Enabledをfalseに設定することで、次のjdkバージョンがリリースされるまでCSRF防止を無効にすることができます。これは、次のファイルで変更する必要があります。
- $ WSO2EI_HOME/wso2/business-process/conf/security/Owasp.CsrfGuard.Carbon.properties
- $ WSO2EI_HOME/wso2/analytics/conf/security/Owasp.CsrfGuard.Carbon.properties
- $ WSO2EI_HOME/wso2/broker/conf/security/Owasp.CsrfGuard.Carbon.properties
- $ WSO2EI_HOME/conf/security/Owasp.CsrfGuard.Carbon.properties