CSRF Protection Framework the-csrf-protection-framework
Förutom referensfiltret för Apache Sling tillhandahåller Adobe även ett nytt CSRF-skyddsramverk som skyddar mot den här typen av attacker.
Ramverket använder tokens för att garantera att kundens begäran är berättigad. Token genereras när formuläret skickas till klienten och valideras när formuläret skickas tillbaka till servern.
NOTE
Det finns inga token för publiceringsinstanserna för anonyma användare.
Krav requirements
Beroenden dependencies
Alla komponenter som är beroende av granite.jquery beroendet kan automatiskt dra nytta av CSRF Protection Framework. Om inte måste du deklarera ett beroende för någon av dina komponenter granite.csrf.standalone före ramverket.
Replikerar krypteringsnyckeln replicating-crypto-keys
Om du vill använda token måste du replikera HMAC-binärfilen till alla instanser i distributionen. Se Replikerar HMAC-nyckeln för mer information.
NOTE
Se också till att du gör nödvändiga Konfigurationsändringar för Dispatcher för att använda ramverket för skydd av CSRF.
NOTE
Om du använder manifest-cachen tillsammans med webbprogrammet måste du lägga till "*" till manifestet för att säkerställa att token inte tar genereringsanropet för CSRF-token offline. Mer information finns i link.
Mer information om CSRF-attacker och sätt att mildra dem finns i OWASP-sida för korsdomänbegäran.
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2