É preferível, e acredito que é o padrão, manter o CSRF_SWITCH (ON), que requer que uma lista de permissões seja configurada para que apenas hosts na lista de permissões possam originar solicitações.
A lista de permissões é um perfil de classe de recurso RACF ZMFAPLA
do formulário IZUDFLT.ZOSMF.REST.<zosmf-service>.<reversed-host-name>
. Todos esses perfis devem ser definidos com o UACC (NONE) e permitir o acesso READ ao ID do servidor (o padrão é IZUSVR).
Um exemplo de perfil IZUDFLT.ZOSMF.REST.*.com.whoa.test.myserver
permitirá solicitações de origem cruzada de entrada do nome do host myserver.test.whoa.com. As mesmas solicitações de origem, como as de um navegador da Web que está acessando diretamente o host z / OSMF, não estão sujeitas à proteção contra CSRF.