CSRF 対策フレームワーク

アドビでは、Apache Sling Referrer Filter 以外にも、この種の攻撃を防ぐための新しい CSRF 対策フレームワークを用意しています。

このフレームワークでは、トークンを利用して、クライアントの要求が正当なものであることを保証します。トークンは、フォームがクライアントに送信されるときに生成され、フォームがサーバーに返されるときに検証されます。

メモ

パブリッシュインスタンスでは、匿名ユーザーのトークンはありません。

要件

依存関係

granite.jquery依存関係に依存するコンポーネントは、CSRF保護フレームワークから自動的にメリットを得られます。 どのコンポーネントにも該当しない場合は、フレームワークを使用する前にgranite.csrf.standaloneへの依存関係を宣言する必要があります。

暗号鍵のレプリケーション

トークンを使用するには、展開内のすべてのインスタンスに/etc/keys/hmacバイナリを複製する必要があります。 HMAC 鍵をすべてのインスタンスにコピーするには、鍵を格納するパッケージを作成し、パッケージマネージャーを使用してすべてのインスタンスにインストールする方法が便利です。

メモ

CSRF 対策フレームワークを使用するには、必要なディスパッチャー設定の変更をおこなってください。

メモ

Webアプリケーションでマニフェストキャッシュを使用する場合、トークンがCSRFトークン生成呼び出しをオフラインにしないように、マニフェストに"*"を追加してください。 詳しくは、こちらのリンクを参照してください。

CSRF 攻撃とその軽減方法について詳しくは、OWASP のクロスサイトリクエストフォージェリに関するページを参照してください。

このページ