CSRF 対策フレームワーク

アドビでは、Apache Sling Referrer Filter 以外にも、この種の攻撃を防ぐための新しい CSRF 対策フレームワークを用意しています。

このフレームワークでは、トークンを利用して、クライアントの要求が正当なものであることを保証します。トークンは、フォームがクライアントに送信されるときに生成され、フォームがサーバーに返されるときに検証されます。

メモ

パブリッシュインスタンスでは、匿名ユーザーのトークンはありません。

要件

依存関係

granite.jquery依存関係に依存するコンポーネントは、CSRF保護フレームワークから自動的にメリットを得られます。 どのコンポーネントにも該当しない場合は、フレームワークを使用する前にgranite.csrf.standaloneへの依存関係を宣言する必要があります。

暗号鍵のレプリケーション

トークンを使用するには、展開内のすべてのインスタンスに/etc/keys/hmacバイナリを複製する必要があります。 HMAC 鍵をすべてのインスタンスにコピーするには、鍵を格納するパッケージを作成し、パッケージマネージャーを使用してすべてのインスタンスにインストールする方法が便利です。

メモ

CSRF 対策フレームワークを使用するには、必要なディスパッチャー設定の変更をおこなってください。

メモ

Webアプリケーションでマニフェストキャッシュを使用する場合、トークンがCSRFトークン生成呼び出しをオフラインにしないように、マニフェストに"*"を追加してください。 詳しくは、こちらのリンクを参照してください。

CSRF 攻撃とその軽減方法について詳しくは、OWASP のクロスサイトリクエストフォージェリに関するページを参照してください。

このページ

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now