Open Web應用程式安全性項目(OWASP)維護了前10大Web應用程式安全性風險的清單。
下面列出了這些內容,以及CRX如何處理這些內容的說明。
一般的緩解做法是使用基於OWASP Encoder和AntiSamy的伺服器端XSS保護庫,對用戶產生的內容的所有輸出進行編碼。
XSS是測試和開發期間的最優先順序,而發現的任何問題(通常)都會立即解決。
AEM使用音效和證實可行的驗證技術,依賴Apache Jackrabbit和Apache Sling。 AEM不會使用瀏覽器/HTTP工作階段。
所有對資料對象的訪問都由儲存庫介導,因此受基於角色的訪問控制的限制。
跨網站偽造要求(CSRF)可借由自動將加密Token注入所有表單和AJAX要求,並在每個POST的伺服器上驗證此Token,來減輕。
此外,AEM隨附反向連結標題篩選器,此篩選器可設定為only,允許來自特定主機的POST要求(定義於清單中)。
無法保證所有軟體都正確設定。 但是,我們努力提供盡可能多的指導,使配置盡可能簡單。 此外,AEM隨附整合的Security Healthchecks,可協助您一目瞭然地監控安全性設定。
請參閱安全檢查清單以取得詳細資訊,其中提供逐步強化指示。
口令作為加密散列儲存在用戶節點中;預設情況下,這些節點僅由管理員和用戶自己讀取。
敏感資料(如第三方憑據)使用FIPS 140-2認證的加密庫以加密形式儲存。
儲存庫允許通過訪問控制條目對任何給定路徑上的任何給定用戶或組設定細粒度權限(由JCR指定)。 存取限制由儲存庫強制執行。
由伺服器設定減輕(例如僅使用HTTPS)。
借由將使用者提供目的地的所有重新導向限制在內部位置,減輕重新導向的影響。