アプリケーションのセキュリティは、開発フェーズで開始します。 Adobeでは、次のセキュリティのベストプラクティスを適用することをお勧めします。
最小権限の原則に従って、アドビでは、リポジトリへのすべてのアクセスを、ユーザー要求と適切なアクセス制御にバインドされたセッションを使用して行うことをお勧めします。
クロスサイトスクリプティング (XSS) を使用すると、攻撃者は他のユーザーが閲覧した Web ページにコードを挿入できます。 このセキュリティ脆弱性は、悪意のある Web ユーザーによって悪用され、アクセス制御をバイパスする可能性があります。
AEMは、ユーザーが指定したすべてのコンテンツを出力時にフィルタリングする原則を適用します。 開発とテストの両方で、XSS の防止が最も優先されます。
AEMが提供する XSS 保護メカニズムは、 AntiSamy Java™ライブラリ 提供: OWASP(Open Web Application Security Project).デフォルトの AntiSamy 設定は、次の場所にあります。
/libs/cq/xssprotection/config.xml
設定ファイルをオーバーレイすることで、この設定を独自のセキュリティ要件に適合させることが重要です。役人は AntiSamy ドキュメント は、セキュリティ要件を実装するために必要なすべての情報を提供します。
Adobeでは、常に AEMが提供する XSSAPI.
また、Web アプリケーションファイアウォール ( Apache 向け mod_securityを使用すると、デプロイメント環境のセキュリティを一元的に確実に制御し、未検出のクロスサイトスクリプティング攻撃から保護できます。
インスタンスの保護に必要なCloud Service情報の ACL と OSGi 設定は、 実稼動準備モード. つまり、設定を手動で変更する必要はありませんが、デプロイメントの運用を開始する前に設定を確認することをお勧めします。
次の場合: AEMインスタンスとAdobe Experience Cloudの統合、 Cloud Service設定. これらの設定に関する情報は、収集された統計と共にリポジトリに保存されます。 Adobeでは、この機能を使用する場合、この情報に対するデフォルトのセキュリティが要件を満たしているかどうかを確認することをお勧めします。
webservicesupport モジュールは、次の場所に統計情報と設定情報を書き込みます。
/etc/cloudservices
デフォルトの権限は、次のとおりです。
オーサー環境:contributors
に対する read
権限
パブリッシュ環境:everyone
に対する read
権限
CSRF 攻撃を軽減するために AEM で採用されているセキュリティメカニズムについて詳しくは、セキュリティチェックリストの Sling リファラーフィルターの節と、CSRF 対策フレームワークのドキュメントを参照してください。