Marco de protección CSRF

Además del filtro de Remitente del reenvío Apache Sling, Adobe también proporciona un nuevo marco de protección CSRF para protegerse contra este tipo de ataque.

El marco utiliza tokens para garantizar que la solicitud del cliente es legítima. Los tokens se generan cuando se envía el formulario al cliente y se validan cuando se devuelve el formulario al servidor.

NOTA

No hay tokens en las instancias de publicación para usuarios anónimos.

Requisitos

Dependencias

Cualquier componente que dependa de la dependencia granite.jquery se beneficiará automáticamente del marco de protección del CSRF. Si este no es el caso de ninguno de sus componentes, debe declarar una dependencia a granite.csrf.standalone antes de poder usar el marco.

Replicar la clave de cifrado

Para utilizar los tokens, debe replicar el binario /etc/keys/hmac en todas las instancias de la implementación. Una manera conveniente de copiar la clave HMAC en todas las instancias es crear un paquete que contenga la clave e instalarla a través del Administrador de paquetes en todas las instancias.

NOTA

Asegúrese también de realizar los cambios necesarios en la configuración de Dispatcher para utilizar el marco de protección CSRF.

NOTA

Si utiliza la caché de manifiesto con la aplicación web, asegúrese de agregar "*" al manifiesto para asegurarse de que el token no desconecte la llamada de generación de tokens de CSRF. Para obtener más información, consulte este vínculo.

Para obtener más información sobre los ataques de CSRF y las formas de mitigarlos, consulte la página OWASP de falsificación de solicitudes entre sitios.

En esta página

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now