CSRF保護框架

除了Apache Sling Referrer Filter外,Ache還提供新的CSRF保護架構,以防止這類攻擊。

該框架利用令牌來保證客戶端請求的合法性。 當表單傳送至用戶端時產生代號,並在表單傳回至伺服器時驗證。

注意

匿名使用者的發佈例項上沒有代號。

要求

相依性

仰賴 granite.jquery 依賴性將自動受益於CSRF保護框架。 如果任何元件的情況不是這樣,則必須聲明相依性 granite.csrf.standalone 之後才能使用框架。

複製加密密鑰

若要使用代號,您需要將HMAC二進位檔復寫至部署中的所有執行個體。 請參閱 複製HMAC密鑰 以取得更多詳細資訊。

注意

請確定您也必須 Dispatcher設定變更 以便使用CSRF保護框架。

注意

如果您將資訊清單快取與Web應用程式搭配使用,請務必新增「*」,以確定代號不會使CSRF代號產生呼叫離線。 如需詳細資訊,請參閱 連結.

如需CSRF攻擊的詳細資訊以及緩解這些攻擊的方法,請參閱 「跨網站請求偽造OWASP」頁.

本頁內容