Das CSRF Protection Framework

Neben dem Apache Sling Referrer Filter bietet Adobe zudem ein neues CSRF Protection Framework zum Schutz vor dieser Art von Angriffen.

Das Framework verwendet Tokens, um sicherzustellen, dass die Client-Anfrage legitim ist. Die Tokens werden erzeugt, wenn das Formular an den Client gesendet wird, und validiert, wenn das Formular an den Server zurückgesendet wird.

HINWEIS

Es gibt keine Token für anonyme Benutzer in den Veröffentlichungsinstanzen.

Voraussetzungen

Abhängigkeiten

Jede Komponente, die sich auf die Abhängigkeit granite.jquery stützt, profitiert automatisch vom CSRF Protection Framework. Wenn dies für eine Ihrer Komponenten nicht der Fall ist, müssen Sie eine Abhängigkeit von granite.csrf.standalone deklarieren, bevor Sie das Framework verwenden können.

Replizieren des Crypto-Schlüssels

Um die Token verwenden zu können, müssen Sie die /etc/keys/hmac-Binärdatei auf alle Instanzen in Ihrer Bereitstellung replizieren. Eine bequeme Möglichkeit, den HMAC-Schlüssel in alle Instanzen zu kopieren, besteht darin, ein Paket zu erstellen, das den Schlüssel enthält, und ihn über Package Manager auf alle Instanzen zu installieren.

HINWEIS

Achten Sie darauf, auch die notwendigen Dispatcher-Konfigurationsänderungen vorzunehmen, um das CSRF Protection Framework zu verwenden.

HINWEIS

Wenn Sie den Manifestcache mit Ihrer Webanwendung verwenden, stellen Sie sicher, dass Sie "*"zum Manifest hinzufügen, um sicherzustellen, dass der CSRF-Token-Generierungsaufruf nicht offline erfolgt. Weitere Informationen finden Sie unter diesem Link.

Weitere Informationen zu CSRF-Angriffen und Möglichkeiten, sie abzuschwächen, finden Sie auf der Seite Cross-Site Request Forgery OWASP.

Auf dieser Seite

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now