Jenkins远程构建方法+CSRF保护问题解决方案

最新推荐文章于 2025-08-14 15:50:35 发布

原创

最新推荐文章于 2025-08-14 15:50:35 发布 · 1k 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#jenkins #CSRF #crumb

Jenkins远程构建

通过URL进行远程构建
解决CSRF保护导致无法访问URL问题

通过URL进行远程构建

在这里插入图片描述
通过URL进行触发
JENKINS_URL/job/job名称/build?token=TOKEN_NAME （不带参数）
JENKINS_URL/job/job名称/buildWithParameters?token=TOKEN_NAME（带参数）

解决CSRF保护导致无法访问URL问题

1、关闭CSRF保护

2、获取crumb作为header访问URL

为通过CSRF保护，需要获取一个 CSRF protection token，然后再将这个token作为HTTP请求的header发送过去
CSRF token获取地址：

http://Jenkins地址/crumbIssuer/api/xml?xpath=(//crumb) 
http://Jenkins地址/crumbIssuer/api/json

使用以下shell脚本可以进行远程触发

CRUMB=$(curl -u jenkins用户名:api_token ‘获取CSRF_crumb地址’)
curl -u Jenkins用户名:api_token –H "$CRUMB" –X POST "远程构建地址"

3、使用python-selenium模拟浏览器登录获取cookies，带cookies访问链接

import sys
import os
import urllib.request
import requests,json,time,traceback
from selenium import webdriver


def login(url, user, pwd)

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

VVong丶CHy

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Jenkins学习总结（6）——Jenkins 的安全实践

科技D人生

02-25

1066

一、时刻保持Jenkins的安全在默认配置情况下，Jenkins是不执行任何安全检查的。也就是说，除一些简单基本的Jenkins配置、作业和构建，网站的访问者几乎可以在Jenkins的主数据库中执行任何随机代码。同时，Jenkins还允许在所有连接的代理上，执行包括用户密码、证书、以及其他隐私数据之类的代码操作。具体实践为了保护Jenkins的安全，我们需要通过如下两个方面，来“配置全局安全性(Configure Global Security)”选项。安全领域：通常也被称为“身份验证”。它会

[【DevOps】调用 Jenkins 的 API 接口时出现 HTTP 403 错误

weixin_46453070的博客

08-30

2195

HTTP 403 错误通常与权限或身份验证相关。通过检查 API Token、用户权限、CSRF 防护设置和网络配置，可以有效排查并解决问题。确保你使用的身份验证方式与 Jenkins 配置匹配，并且用户拥有执行该 API 操作的足够权限。

参与评论您还未登录，请先登录后发表或查看评论

Jenkins 2.x 系列 CSRF天坑问题解决!

weixin_50763319的博客

11-28

460

400:curl 提交的表单错误403:csrf认证机制不对401:jenkins用户密码不对404:curl访问网址错误。

Jenkins 2.387.2关闭跨站请求伪造保护（CSRF），亲测有效

qq_46274911的博客

04-23

1312

在jenkins.service文件中找到Argument for the jenkins JVM。根据网上的方法在/etc/sysconfig/jenkins以及/etc/init.d/jenkins中添加。我使用的是centos7+Jenkins 2.387.2API，远程调用API，报错403。查找到jenkins的启动文件。在JAVA_POTS添加之后。之后重启jenkins。

【10.15总结】绕过CSRF的Referer保护

weixin_30449453的博客

10-15

428

今天下午可能要出远门，所以现在就把总结写好了。 Write-up地址：[Critical] Bypass CSRF protection on IBM 这个CSRF漏洞存在于IBM的修改邮箱页面，修改邮箱的地址是 https://www.ibm.com/ibmweb/myibm/account/sendmail?locale=us-en&email=NEW_EMAIL 所...

Jenkins Windows关闭跨站请求伪造保护（CSRF）

丿灬安之若死

03-18

1338

添加后启动jenkins服务并且访问/restart路径重启 jenkins。我们找到了这个jenkins路径进入路径修改jenkins.xml文件。修改里面arguments添加这内容。成功后这里就是这样的显示。

Jenkins基础：CSRF安全设定

知行合一止于至善

07-30

6479

Jenkins2.x在安装的时候CSRF防护设定缺省状态下是打开的，整体来说这是一种安全的机制，但是也存在需要关闭的场合，这篇文章介绍一下非手动方式设定CSRF的方法。

DevOps实战：使用GitLab+Jenkins+Kubernetes(k8s)建立CI_CD解决方案

北京少女的梦

07-04

3824

DevOps实战：使用GitLab+Jenkins+Kubernetes(k8s)建立CI/CD解决方案

安全加固----十、Jenkins服务安全加固

七天

07-07

1092

文章目录一、Jenkins简介二、Jenkins访问控制三、Jenkins加固方案1、关注安全漏洞2、启用安全性设置3、配置NLP TCP端口4、启用访问控制5、选择合理的授权方式6、选用与认证和用户管理相关的插件7、启用CSRF保护一、Jenkins简介 Jenkins早期版本的默认配置下没有安全检查。任何人都可以以匿名用户身份进入Jenkins，执行build操作。然而，对大多数Jenkins应用，尤其是暴露在互联网的应用，安全控制是非常重要的。从Jenkins 2.0开始，其默认配置中启用了许多

Jenkins关闭跨站请求伪造保护（CSRF）保护

michael's blog

03-24

5400

Jenkins关闭跨站请求伪造保护（CSRF）保护

Jenkins关闭跨站请求伪造保护（CSRF）

Jin_Amy的博客

01-17

5130

一、简介 Jenkins版本自2.204.6以来的重大变更有：删除禁用 CSRF 保护的功能。在高版本的Jenkins中默认启用CSRF。在内网进行持续集成（CI）时，若未增加相关认证配置情况下，开启CSRF，会报403错误。所以关闭CSRF，减少复杂性。二、解决方案 在低于 2.204.6 版本中，可以在系统管理 > 全局安全配置中操作CSRF的开启与关闭。在高于2.204.6 版本中，需要在启动Jenkins时增加参数配置来关闭CSRF -Dhudson.security.csrf.G

持续集成工具Jenkins学习4 Idea集成Jenkins插件

猿来这样-谢厂节的博客

11-27

7786

持续集成工具Jenkins学习4 Idea集成Jenkins插件一、功能简介二、安装Idea插件1. 搜索安装2. 设置三、使用一、功能简介 Idea可以方便地添加Jenkins插件，这样平时构建工程就不需要再登陆到Jenkins平台了。准备环境： Idea Jenkins 一个Spring Boot项目二、安装Idea插件 1. 搜索安装到Idea的File-Settings-Plugins，搜索Jenkins Control Plugin插件：安装后重启Idea。 2. 设置到File

高版本jenkins调用API出现403关闭CSRF

MinisterZ的博客

12-08

1426

jenkins版本较高，不支持关闭CSRF。 hudson.security.csrf.GlobalCrumbIssuerConfiguration.DISABLE_CSRF_PROTECTION = true 启用 hudson.security.csrf.GlobalCrumbIssuerConfiguration.DISABLE_CSRF_PROTECTION = false ...

jenkins 安装以及Jenkins无法在界面关闭跨站请求伪造保护（CSRF）解决403以及如何关闭Jenkins杀掉所有衍生进程

cputao的博客

08-22

1852

1.jenkins安装 2.高版本Jenkins无法在界面关闭跨站请求伪造保护（CSRF）解决403 3.Jenkins杀掉所有衍生进程导致无法启动子进程的解决办法

jenkins 关闭关闭CSRF Protection（跨站请求伪造保护）

python程序员

07-11

2399

Jenkins版本自2.204.6以来的重大变更有：删除禁用 CSRF 保护的功能。从较旧版本的 Jenkins 升级的实例将启用 CSRF 保护和设置默认的发行者，如果之前被禁用。老版本Jenkins的CSRF保护功能只需要在系统管理 > 全局安全配置中便可进行打开或者关闭。让人头疼的是较高版本的Jenkins竟然在管理页面关闭不了CSRF。启动后在jenkins设置中-全局安全设置里面看是否关闭，如下图所示就是已经关闭了。我的jenkins版本是：2.332.4。我的启动命令，大伙可做参考。

Jenkins版本升级导致的系统调用Jenkins时csrf问题403

weixin_47980221的博客

12-01

350

据官网描述，Jenkins版本自2.204.6以来的重大变更有：删除禁用 CSRF 保护的功能。从较旧版本的 Jenkins 升级的实例将启用 CSRF 保护和设置默认的发行者老版本Jenkins的CSRF保护功能直接可在系统管理--》系统配置中关掉，新的版本并没有禁用功能方法一：新版本关闭此功能可在Jenkins系统管理--》脚本命令执行中执行： -Dhudson.security.c...

word 代码_微软补丁日：Word/DHCP/LNK远程代码执行漏洞预警

weixin_39986896的博客

11-29

231

0x00 漏洞背景2019年8月14日微软发布的安全更新中除了RDP漏洞还涵盖了针对多个远程代码执行高危漏洞的修复。Microsoft Word远程代码执行漏洞，漏洞编号CVE-2019-0585。Windows DHCP客户端远程代码执行漏洞，漏洞编号CVE-2019-0736。LNK远程代码执行漏洞，漏洞编号CVE-2019-1188。0x01 漏洞详情LNK远程代码执行漏洞...

enkins 启动时关闭 CSRF 保护