开放Web 应用程序安全项目(OWASP)保持其认为前10个Web 应用程序安全风险的列表。
下面列出了这些信息,并解释了CRX如何处理这些信息。
一般的缓解做法是使用基于OWASP Encoder和AntiSamy的服务器端XSS保护库对用户生成内容的所有输出进行编码。
在测试和开发过程中,XSS是最优先的任务,发现的任何问题(通常)都会立即得到解决。
AEM使用声音和经过验证的身份验证技术,依赖Apache Jackrabbit和Apache Sling。 AEM中不使用浏览器/HTTP会话。
对数据对象的所有访问都由存储库进行,因此受基于角色的访问控制限制。
跨站点请求伪造(CSRF)的缓解方法是:自动向所有表单和AJAX请求中注入加密令牌,并在每个POST在服务器上验证此令牌。
此外,AEM附带基于推荐人头的过滤器,该过滤器可配置为仅允许来自特定主机(在列表中定义)的POST请求。
无法保证所有软件始终正确配置。 但是,我们努力提供尽可能多的指导,使配置尽可能简单。 此外,AEM附带集成的安全运行状况检查,可帮助您一目了然地监控安全配置。
请查阅安全清单以了解详细信息,它为您提供逐步强化说明。
口令作为加密哈希存储在用户节点中;默认情况下,此类节点只能由管理员和用户自己读取。
敏感数据(如第三方凭据)使用经FIPS 140-2认证的加密库以加密形式存储。
存储库允许通过访问控制条目为任何给定路径上的任何给定用户或组设置细粒度权限(由JCR指定)。 存储库强制实施访问限制。
通过服务器配置缓解(例如,仅使用HTTPS)。
通过限制所有重定向到用户提供的目标到内部位置,减轻了重定向。