CSRF 対策フレームワーク

アドビでは、Apache Sling Referrer Filter 以外にも、この種の攻撃を防ぐための新しい CSRF 対策フレームワークを用意しています。

このフレームワークでは、トークンを利用して、クライアントの要求が正当なものであることを保証します。トークンは、フォームがクライアントに送信されるときに生成され、フォームがサーバーに返されるときに検証されます。

メモ

パブリッシュインスタンスでは、匿名ユーザーのトークンはありません。

要件

依存関係

granite.jquery依存関係に依存するコンポーネントは、CSRF保護フレームワークのメリットを自動的に受けます。 どのコンポーネントでも該当しない場合は、フレームワークを使用する前にgranite.csrf.standaloneに依存関係を宣言する必要があります。

暗号鍵のレプリケーション

トークンを利用するには、デプロイメント内のすべてのインスタンスに/etc/keys/hmacバイナリをレプリケートする必要があります。 HMAC 鍵をすべてのインスタンスにコピーするには、鍵を格納するパッケージを作成し、パッケージマネージャーを使用してすべてのインスタンスにインストールする方法が便利です。

メモ

CSRF 対策フレームワークを使用するには、必要なディスパッチャー設定の変更をおこなってください。

メモ

Webアプリケーションでマニフェストキャッシュを使用する場合、トークンがCSRFトークン生成呼び出しをオフラインで受け取らないようにするために、「*」をマニフェストに追加します。 詳しくは、こちらのリンクを参照してください。

CSRF 攻撃とその軽減方法について詳しくは、OWASP のクロスサイトリクエストフォージェリに関するページを参照してください。

このページ