開放Web應用程式安全項目(OWASP)維護一個清單,列出它們認為的前10個Web應用程式安全風險。
下面列出了這些檔案,以及CRX如何處理這些檔案的說明。
一般的緩解做法是使用基於OWASP Encoder和AntiSamy的伺服器端XSS保護庫對用戶生成的內容的所有輸出進行編碼。
在測試和開發期間,XSS都是最優先順序,而發現的任何問題(通常)都可立即解決。
AEM使用聲音和經驗證的驗證技術,依賴Apache Jackrabbit和Apache Sling。 AEM中未使用瀏覽器/HTTP工作階段。
對資料對象的所有訪問都由儲存庫介導,因此受基於角色的訪問控制的限制。
自動將密碼編譯Token插入所有表單和AJAX請求,並針對每個POST在伺服器上驗證此Token,借此緩解跨網站請求偽造(CSRF)。
此外,AEM隨附反向連結標題型篩選器,此篩選器可設定為only允許來自特定主機的POST請求(在清單中定義)。
無法保證所有軟體都始終正確配置。 然而,我們努力提供盡可能多的指導,並盡可能簡化配置。 此外,AEM隨整合的Security Healthchecks一起提供,可幫助您一目瞭然地監控安全配置。
請查看安全檢查清單以了解為您提供逐步強化說明的詳細資訊。
密碼儲存為用戶節點中的加密哈希;預設情況下,這些節點僅由管理員和用戶自己讀取。
敏感資料(如第三方憑證)使用經FIPS 140-2認證的加密庫以加密形式儲存。
儲存庫允許通過訪問控制項為任何給定用戶或組設定微調權限(如JCR所指定),以在任何給定路徑上。 存取限制由存放庫強制執行。
由伺服器配置緩解(例如僅使用HTTPS)。
限制使用者提供目的地的所有重新導向至內部位置,借此緩解。