Het CSRF-beschermingskader

LET OP

AEM 6.4 heeft het einde van de uitgebreide ondersteuning bereikt en deze documentatie wordt niet meer bijgewerkt. Raadpleeg voor meer informatie onze technische ondersteuningsperioden. Ondersteunde versies zoeken hier.

Naast het filter Apache Sling Referrer biedt Adobe ook een nieuw CSRF-beschermingskader dat bescherming biedt tegen dit type aanvallen.

Het framework maakt gebruik van tokens om te garanderen dat het verzoek van de klant legitiem is. De tokens worden gegenereerd wanneer het formulier naar de client wordt verzonden en gevalideerd wanneer het formulier naar de server wordt teruggestuurd.

OPMERKING

De publicatie-instanties bevatten geen tokens voor anonieme gebruikers.

Vereisten

Afhankelijkheden

Elke component die afhankelijk is van de component granite.jquery de afhankelijkheid zal automatisch profiteren van het CSRF-beschermingskader. Als dit niet het geval voor om het even welk van uw componenten is, moet u een gebiedsdeel verklaren aan granite.csrf.standalone voordat u het framework kunt gebruiken.

De crypto-sleutel repliceren

Als u de tokens wilt gebruiken, moet u de /etc/keys/hmac binair aan alle instanties in uw plaatsing. Een handige manier om de HMAC-sleutel naar alle instanties te kopiëren, is door een pakket met de sleutel te maken en deze via Package Manager op alle instanties te installeren.

OPMERKING

Zorg ervoor dat u ook de vereiste Wijzigingen in de configuratie van Dispatcher om gebruik te maken van het CSRF-beschermingskader.

OPMERKING

Als u het manifestgeheime voorgeheugen met uw Webtoepassing gebruikt, zorg ervoor u "&asteren;" aan manifest om ervoor te zorgen neemt het teken niet de CSRF symbolische generatievraag offline. Raadpleeg deze voor meer informatie link.

Voor meer informatie over aanvallen CSRF en manieren om hen te verlichten, zie OWASP-pagina voor XSS-aanvragen voor andere sites.

Op deze pagina