安全性

應用程式安全性會在開發階段啟動。 Adobe建議套用下列安全性最佳實務。

使用請求作業

Adobe建議依循Leas權限原則,使用系結至使用者要求的作業階段和適當的存取控制,來完成每個儲存庫的存取。

防止跨網站指令碼(XSS)

跨網站指令碼(XSS)可讓攻擊者將程式碼注入其他使用者檢視的網頁。 惡意Web使用者可利用此安全性弱點略過存取控制。

AEM會套用在輸出時篩選所有使用者提供內容的原則。 在開發和測試期間,防止XSS的優先順序最高。

AEM提供的XSS保護機制是以 OWASP(Open Web Application Security Project)提供的 AntiSamy Java Library (AntiSamy Java Library)為基礎的。 AntiSamy預設組態可在

/libs/cq/xssprotection/config.xml

請務必通過覆蓋配置檔案來調整此配置以滿足您自己的安全需求。 官方 的AntiSamy檔案 ,將提供您所需的所有資訊,以實作您的安全性要求。

注意

我們強烈建議您一律使用AEM提供的 XSSAPI存取XSS保護API

此外,Web應用程式防火牆(例如 mod_security for Apache)可提供可靠、集中的部署環境安全控制,並防止先前未偵測到的跨網站指令碼攻擊。

存取雲端服務資訊

注意

「雲端服務資訊」的ACL以及保護您實例所需的OSGi設定會自動化,成為「生產就緒模式」的 一部分。 雖然這表示您不需要手動進行設定變更,但仍建議您在部署上線前先檢閱設定。

當您將 AEM實例與Adobe Marketing Cloud整合時 ,您會使 用Cloud服務設定。 有關這些配置的資訊以及收集到的任何統計資訊都儲存在儲存庫中。 我們建議您,如果您使用此功能,請檢閱此資訊的預設安全性是否符合您的需求。

webservicesupport模組將統計資訊和配置資訊寫入以下位置:

/etc/cloudservices

使用預設權限:

  • 作者環境: read for contributors

  • 發佈環境: read for everyone

防止跨網站偽造要求攻擊

如需AEM運用來緩解CSRF攻擊的安全機制的詳細資訊,請參閱安全檢查清單的 Sling Referrer Filter (Security Checklist)區段和 CSRF Protection Framwork檔案

本頁內容