A estrutura de proteção CSRF

Última atualização em 2023-11-08
  • Tópicos
  • Developing
    Exibir mais informações sobre este tópico
  • Criado para:
  • Developer

Além do Filtro referenciador Apache Sling, o Adobe também fornece uma nova Estrutura de proteção CSRF para proteger contra esse tipo de ataque.

A estrutura usa tokens para garantir que a solicitação do cliente seja legítima. Os tokens são gerados quando o formulário é enviado ao cliente e validado quando o formulário é enviado de volta ao servidor.

OBSERVAÇÃO

Não há tokens nas instâncias de publicação para usuários anônimos.

Requisitos

Dependências

Qualquer componente que dependa da variável granite.jquery A dependência pode se beneficiar automaticamente da Estrutura de proteção CSRF. Caso contrário, para qualquer um dos componentes, é necessário declarar uma dependência para granite.csrf.standalone antes de usar a estrutura.

Replicação da chave de criptografia

Para usar os tokens, é necessário replicar o binário HMAC para todas as instâncias em sua implantação. Consulte Replicação da chave HMAC para obter mais detalhes.

OBSERVAÇÃO

Certifique-se também de fazer o necessário Alterações na configuração do Dispatcher para usar a Estrutura de proteção CSRF.

OBSERVAÇÃO

Se você usar o cache manifest com seu aplicativo web, certifique-se de adicionar "*" ao manifesto para garantir que o token não coloque a chamada de geração de token CSRF offline. Para obter mais informações, consulte este link.

Para obter mais informações sobre ataques CSRF e maneiras de atenuá-los, consulte a Página OWASP de falsificação de solicitação entre sites.

Nesta página