IZUG846W: リモートサイトからz/OSMF RESTサービスに対するHTTPリクエストを受信しました。

CSRF_SWITCH(ON)を維持することが望ましく、私はこれがデフォルトだと考えています。

ホワイトリストは、RACFのZMFAPLAリソースクラスプロファイルで、IZUDFLT.ZOSMF.REST.. という形になっています。 このようなプロファイルはすべてUACC(NONE)で定義され、サーバーID(デフォルトはIZUSVR)へのREADアクセスを許可する必要があります。

例えば、IZUDFLT.ZOSMF.REST.*.com.whoa.test.myserverというプロファイルでは、ホスト名 myserver.test.whoa.com からの受信クロスオリジンリクエストを許可することになります。 z/OSMF ホストに直接アクセスしている Web ブラウザからの要求などの同一生成元要求は、CSRF 保護の対象ではありません。

RESTリクエストを自分で生成している場合は、X-CSRF-ZOSMF-HEADERというヘッダを任意の値で追加することでこれを回避することができます。 例えばFirefoxのpostmanではヘッダを追加できますI'postmanでビフォーアフターの画像あり。

気難しいz/OSMFサーバーに対処するもう一つの良い方法は、CURLを通してAPIを駆動することです。

curl -k -H "X-CSRF-ZOSMF-HEADER: dummy" -u : https://:/zosmf/restfiles/ds?dslevel=T*

zowe.orgでは、ヘッダにこだわらず、z/OSMFのニュアンスを抽象化したREST APIのセットを提供しています。また、コマンドラインインターフェースや、おしゃれなJESエクスプローラ、ブラウザ上で動くデータセットやUSSファイル用のファイルエクスプローラも用意していますので、お時間があればzowe.orgにアクセスして、少しでも役に立ったら教えて下さいね。

それではまた。

ジョー

デフォルトでは、z/OSMFは、偶発的なセキュリティホールを開けないように、セキュアモードで構成されています。 提供されるメッセージは、リモートシステム（REST呼び出しのソース）が潜在的に安全でない可能性があることを示します。 これは、要求が拒否されることを意味します。

この問題を回避する1つの方法は、z/OSMFを初期化する IZUPRMnn メンバーを変更することです。 このパラメータは

デフォルトのパラメータである CSRF_SWITCH(ON) は、次のように変更することができます。 CSRF_SWITCH(OFF)` これはクロスサイトスクリプティングの安全機構を無効にします。

z/OSMFのパラメータは、ここにあります。

CSRF_SWITCH`の特定のエントリは、以下の参考のために含まれており、z/OS 2.3に基づいています。

__CSRF_SWITCH(ON|OFF)__.

クロスサイトリクエストフォージェリ(Cross Site Request Forgery)が有効かどうかを示します。 (CSRF) カスタムヘッダーのチェックをREST APIリクエストに対して有効にするかどうかを示します。デフォルトでは デフォルトでは、CSRF_SWITCH は ON に設定され、インストールを確実にします。 CSRF 攻撃から保護されます。しかし、テスト用など限られたケースでは CSRF_SWITCH を ON に設定することで、CSRF 攻撃からインストールを保護することができます。 CSRF_SWITCH=OFF に設定することで、一時的に CSRF チェックを無効にすることができます。しかし、この設定は有効にしておくことをお勧めします。 CSRF攻撃を防ぐために、この設定を有効にしておくことをお勧めします。詳しくは IBM z/OS Management Facility プログラミングガイド」を参照してください。デフォルトはON

z/OSMF Configurationの詳細については、ここ を参照してください。