AEM 6.4 heeft het einde van de uitgebreide ondersteuning bereikt en deze documentatie wordt niet meer bijgewerkt. Raadpleeg voor meer informatie onze technische ondersteuningsperioden. Ondersteunde versies zoeken hier.
Naast het filter Apache Sling Referrer biedt Adobe ook een nieuw CSRF-beschermingskader dat bescherming biedt tegen dit type aanvallen.
Het framework maakt gebruik van tokens om te garanderen dat het verzoek van de klant legitiem is. De tokens worden gegenereerd wanneer het formulier naar de client wordt verzonden en gevalideerd wanneer het formulier naar de server wordt teruggestuurd.
De publicatie-instanties bevatten geen tokens voor anonieme gebruikers.
Elke component die afhankelijk is van de component granite.jquery
de afhankelijkheid zal automatisch profiteren van het CSRF-beschermingskader. Als dit niet het geval voor om het even welk van uw componenten is, moet u een gebiedsdeel verklaren aan granite.csrf.standalone
voordat u het framework kunt gebruiken.
Als u de tokens wilt gebruiken, moet u de /etc/keys/hmac
binair aan alle instanties in uw plaatsing. Een handige manier om de HMAC-sleutel naar alle instanties te kopiëren, is door een pakket met de sleutel te maken en deze via Package Manager op alle instanties te installeren.
Zorg ervoor dat u ook de vereiste Wijzigingen in de configuratie van Dispatcher om gebruik te maken van het CSRF-beschermingskader.
Als u het manifestgeheime voorgeheugen met uw Webtoepassing gebruikt, zorg ervoor u "&asteren;" aan manifest om ervoor te zorgen neemt het teken niet de CSRF symbolische generatievraag offline. Raadpleeg deze voor meer informatie link.
Voor meer informatie over aanvallen CSRF en manieren om hen te verlichten, zie OWASP-pagina voor XSS-aanvragen voor andere sites.