<html dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" id="owaParaStyle"></style>
</head>
<body fpstyle="1" ocsi="0">
<div style="direction: ltr;font-family: Tahoma;color: #000000;font-size: 10pt;">
<div><span style="font-family: Arial, Helvetica, &quot;Luxi Sans&quot;, sans-serif; font-size: 14.4px; white-space: pre; background-color: rgb(255, 255, 255);">You are bumping into the protection we have for
</span><strong style="background-color: rgb(221, 255, 118); padding: 2px; font-family: Arial, Helvetica, &quot;Luxi Sans&quot;, sans-serif; font-size: 14.4px; white-space: pre;">CSRF</strong><span style="font-family: Arial, Helvetica, &quot;Luxi Sans&quot;, sans-serif; font-size: 14.4px; white-space: pre; background-color: rgb(255, 255, 255);">
 (cross site request</span><br style="font-family: Arial, Helvetica, &quot;Luxi Sans&quot;, sans-serif; font-size: 14.4px; white-space: pre; background-color: rgb(255, 255, 255);">
<span style="font-family: Arial, Helvetica, &quot;Luxi Sans&quot;, sans-serif; font-size: 14.4px; white-space: pre; background-color: rgb(255, 255, 255);">forgery)
</span></div>
<div><br>
</div>
<div>
<p style="padding: 0px; margin-right: 0px; margin-left: 0px; font-family: Arial, Helvetica, &quot;Luxi Sans&quot;, sans-serif; font-size: 14.4px; white-space: pre; background-color: rgb(255, 255, 255);">
others have mentioned a chrome extension to stop Chrome from forcing an Origin<br>
header (<a class="exlink mklink" href="https://github.com/postmanlabs/postman-app-support/issues/744" rel="nofollow" style="font-size: 14.4px; color: rgb(0, 0, 153); cursor: pointer;">https://github.com/postmanlabs/postman-app-support/issues/744</a>)</p>
</div>
<div><br>
</div>
<div>best to use curl or code ....</div>
<div><br>
</div>
<div>J</div>
<div><br>
<div style="font-family: Times New Roman; color: #000000; font-size: 16px">
<hr tabindex="-1">
<div id="divRpF533794" style="direction: ltr;"><font face="Tahoma" size="2" color="#000000"><b>From:</b> general-bounces@developer.marklogic.com [general-bounces@developer.marklogic.com] on behalf of Florent Georges [lists@fgeorges.org]<br>
<b>Sent:</b> 16 February 2017 14:59<br>
<b>To:</b> MarkLogic Developer Discussion<br>
<b>Subject:</b> [MarkLogic Dev General] 403 SCRF error on the Management API<br>
</font><br>
</div>
<div></div>
<div>
<div dir="ltr">Hi,<br>
<br>
I create a database using the Management API.&nbsp; I send the request<br>
using Chrome's Postman.<br>
<br>
&nbsp;&nbsp;&nbsp; - URL: <a href="http://ml9ea4:8002/manage/v2/databases" target="_blank">http://ml9ea4:8002/manage/v2/databases</a><br>
&nbsp;&nbsp;&nbsp; - Digest authorization with correct user/pwd<br>
&nbsp;&nbsp;&nbsp; - Content-Type: application/json<br>
&nbsp;&nbsp;&nbsp; - Body: raw: { &quot;database-name&quot;: &quot;foo-content&quot; }<br>
<br>
MarkLogic returns &quot;403 CSRF&quot; with no content.<br>
<br>
Note the machine name is redirected to a VirtualBox machine on my<br>
laptop, configured in /etc/hosts.&nbsp; Also, the following works like a<br>
charm, so it seems to be an issue related to Postman:<br>
<br>
&nbsp;&nbsp;&nbsp; curl -X POST --digest --user xxx:yyy&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; --header &quot;Content-Type:application/json&quot; \<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -d'{ &quot;database-name&quot;: &quot;foo-content&quot; }'&nbsp;&nbsp; \<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://ml9ea4:8002/manage/v2/databases" target="_blank">http://ml9ea4:8002/manage/v2/databases</a><br>
<br>
Any idea what can cause the 403?&nbsp; Anyone experienced this already?<br>
<br>
Regards,<br clear="all">
<br>
-- <br>
<div class="gmail_signature">Florent Georges<br>
H2O Consulting<br>
<a href="http://h2o.consulting/" target="_blank">http://h2o.consulting/</a> - New website!<br>
<br>
<br>
</div>
</div>
</div>
</div>
</div>
</div>
</body>
</html>