Das CSRF Protection Framework the-csrf-protection-framework

Last update: Thu Apr 18 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Themen:
Developing

Erstellt für:

Developer

Neben dem Apache Sling Referrer Filter bietet Adobe zudem ein neues CSRF Protection Framework zum Schutz vor dieser Art von Angriffen.

Das Framework verwendet Tokens, um sicherzustellen, dass die Client-Anfrage legitim ist. Die Token werden erzeugt, wenn das Formular an den Client gesendet wird, und validiert, wenn das Formular an den Server zurückgesendet wird.

NOTE

Für anonyme Benutzer gibt es in den Veröffentlichungsinstanzen keine Token.

Voraussetzungen requirements

Abhängigkeiten dependencies

Jede Komponente, die sich auf die Abhängigkeit granite.jquery stützt, profitiert automatisch vom CSRF Protection Framework. Wenn dies für eine Ihrer Komponenten nicht der Fall ist, müssen Sie eine Abhängigkeit von granite.csrf.standalone deklarieren, bevor Sie das Framework verwenden können.

Replizieren des Crypto-Schlüssels replicating-crypto-keys

Um die Token nutzen zu können, müssen Sie die HMAC-Binärdatei auf alle Instanzen in Ihrer Bereitstellung replizieren. Siehe Replizieren des HMAC-Schlüssels für weitere Details.

NOTE

Achten Sie darauf, auch die notwendigen Dispatcher-Konfigurationsänderungen vorzunehmen, um das CSRF Protection Framework zu verwenden.

NOTE

Wenn Sie den Manifest-Cache mit Ihrer Web-Anwendung verwenden, stellen Sie sicher, dass Sie „*****“ zum Manifest hinzufügen, damit das Token die CSRF-Token-Erzeugungsanforderung nicht offline nimmt. Weitere Informationen finden Sie unter diesem Link.

Weitere Informationen zu CSRF-Angriffen und Möglichkeiten, sie abzuschwächen, finden Sie auf der Seite [Cross-Site Request Forgery OWASP](https://owasp.org/www-community/attacks/csrf).

recommendation-more-help

19ffd973-7af2-44d0-84b5-d547b0dffee2