Fatal编程技术网
  • solr/
  • Solr Tomcat 6.0.35-如何绕过manager应用程序上的新CSRF保护?

Solr Tomcat 6.0.35-如何绕过manager应用程序上的新CSRF保护?

solr

Solr Tomcat 6.0.35-如何绕过manager应用程序上的新CSRF保护?,solr,tomcat6,csrf,Solr,Tomcat6,Csrf,我有一个命令行脚本(实际上是一个git签出后钩子),它通过执行cURL来重新加载我的Solr应用程序: http://localhost:8080/manager/html/reload?path=/solr 自从我升级到Ubuntu13.04后,它现在就失败了,在升级之前它曾经工作过 问题的原因是我的新版Tomcat(6.0.35)有一些新的CSRF保护,现在它返回403拒绝访问 如何解决该问题并绕过CSRF保护 更多信息: 我的/etc/tomcat6/tomcat users.xml文

我有一个命令行脚本(实际上是一个git签出后钩子),它通过执行cURL来重新加载我的Solr应用程序:

http://localhost:8080/manager/html/reload?path=/solr
自从我升级到Ubuntu13.04后,它现在就失败了,在升级之前它曾经工作过

问题的原因是我的新版Tomcat(6.0.35)有一些新的CSRF保护,现在它返回
403拒绝访问

如何解决该问题并绕过CSRF保护

更多信息:

我的
/etc/tomcat6/tomcat users.xml
文件:

<?xml version='1.0' encoding='utf-8'?>
  <role rolename="manager"/>
  <user username="tomcat" password="secret" roles="manager"/>
</tomcat-users>

<?xml version='1.0' encoding='utf-8'?>
  <role rolename="manager-gui"/>
  <role rolename="manager-script"/>
  <user username="tomcat" password="secret" roles="manager-gui,manager-script"/>
</tomcat-users>
文档中提到了一些新的经理角色,但是我的错误特别提到了单个“经理”角色目前仍然存在(我尝试了其他角色,但没有成功)。

(当我写这个问题时,我找到了答案。)我需要卷曲到HTML应用程序,而不是卷曲到HTML应用程序“纯文本界面”

i、 e.代替

http://localhost:8080/manager/html/reload?path=/solr
使用:

结果是:

HTML接口受CSRF保护,但文本和JMX接口不受保护

这与名为“管理者脚本”的新角色相匹配。为了确保我的应用程序将来能够正常工作,我更改了我的
/etc/tomcat6/tomcat users.xml
文件:

<?xml version='1.0' encoding='utf-8'?>
  <role rolename="manager"/>
  <user username="tomcat" password="secret" roles="manager"/>
</tomcat-users>

<?xml version='1.0' encoding='utf-8'?>
  <role rolename="manager-gui"/>
  <role rolename="manager-script"/>
  <user username="tomcat" password="secret" roles="manager-gui,manager-script"/>
</tomcat-users>