- 開発ユーザーガイドの概要
- デベロッパー向けの概要
- Platform
- Sling チートシート
- Sling アダプターの使用
- タグライブラリ
- テンプレート
- AEM での Sling Resource Merger の使用
- オーバーレイ
- 命名規則
- 新しい Granite UI フィールドコンポーネントの作成
- Query Builder
- タグ付け
- エラーハンドラーによって表示されるページのカスタマイズ
- カスタムノードタイプ
- グラフィックレンダリング用のフォントの追加
- SQL データベースへの接続
- URL の外部化
- オフロードのためのジョブの作成と使用
- Cookie の使用法の設定
- AEM JCR へのプログラムからのアクセス方法
- JMX コンソールを使用したサービスの統合
- Bulk Editor の開発
- レポートの開発
- コンポーネント
- AEM におけるヘッドフルとヘッドレス
- ヘッドレスエクスペリエンス管理
- ハイブリッドおよび SPA の AEM 開発
- AEM でのハイブリッドと SPA
- SPA の概要およびガイド
- SPA WKND チュートリアル
- React の使用を開始する
- SPA への React コンポーネントの実装
- Angular の使用を開始する
- SPA の詳細
- AEM 向け SPA の開発
- SPA エディターの概要
- SPA ブループリント
- SPA ページコンポーネント
- コンポーネントマッピングの動的モデルSPA の場合
- SPA モデルルーティング
- RemotePage コンポーネント
- AEM 内での外部 SPA の編集
- SPA の複合コンポーネント
- SPA およびサーバーサイドレンダリング
- コンポーネントの JSON 書き出しの有効化
- ローンチの統合
- SPA 参照資料
- 開発ツール
- パーソナライズ機能
- AEM の拡張
- Adobe Developer App Builder を使用した AEM の拡張
- ページオーサリングのカスタマイズ
- コンソールのカスタマイズ
- ページプロパティのビューのカスタマイズ
- ページプロパティの一括編集のためのページの設定
- コンテンツフラグメントのカスタマイズと拡張
- レンダリングコンポーネントのコンテンツフラグメントの設定
- エクスペリエンスフラグメント
- ワークフローの拡張
- Multi Site Manager の拡張
- トラッキングと分析
- Cloud Services
- カスタムエクステンションの作成
- Forms
- JMX コンソールを使用したサービスの統合
- Bulk Editor の開発
- クラシック UI の拡張
- テスト
- ベストプラクティス
- モバイル web
セキュリティ
アプリケーションのセキュリティは、開発フェーズから始まります。アドビでは、次のセキュリティベストプラクティスを実施することをお勧めします。
リクエストセッションの使用
最小権限の原則に従って、アドビでは、リポジトリへのすべてのアクセスを、ユーザー要求と適切なアクセス制御にバインドされたセッションを使用して行うことをお勧めします。
クロスサイトスクリプティング(XSS)に対する保護
クロスサイトスクリプティング(XSS)を利用することにより、攻撃者は他のユーザーが表示する Web ページにコードを埋め込むことができます。このセキュリティ脆弱性が悪意のある Web ユーザーに悪用され、アクセス制御が擦り抜けられる可能性があります。
AEM では、ユーザーが提供するコンテンツをすべて出力時にフィルタリングする原則を適用しています。XSS を回避することは、開発時にもテスト時にも第一優先となります。
AEM が提供する XSS 保護メカニズムは、OWASP(The Open Web Application Security Project)が提供する AntiSamy Java ライブラリに基づいています。デフォルトの AntiSamy 構成は、次の場所にあります。
/libs/cq/xssprotection/config.xml
設定ファイルをオーバーレイすることで、この設定を独自のセキュリティ要件に適合させることが重要です。公式の AntiSamy ドキュメントでは、セキュリティ要件を実装するために必要なすべての情報が提供されています。
AEM が提供する XSSAPI を使用して、常に XSS 対策 API にアクセスすることを強くお勧めします。
また、Apache 対応の mod_security などの web アプリケーションファイアウォールを使用すると、デプロイメント環境のセキュリティを高い信頼性で一元的に制御でき、以前は検出されなかったクロスサイトスクリプティング攻撃に対する保護も可能になります。
クラウドサービス情報へのアクセス
インスタンスの保護に必要なクラウドサービス情報用の ACL と OSGi 設定は、実稼動準備モードの一部として自動化されます。つまり、設定の変更を手動で行う必要はありませんが、設定されていることをデプロイメントの運用を開始する前に確認しておくことをお勧めします。
AEM インスタンスを Adobe Marketing Cloud と統合する場合は、クラウドサービス設定を使用します。これらの設定に関する情報は、収集された統計と共にリポジトリに格納されます。この機能を使用する場合は、この情報に適用されるデフォルトのセキュリティが要件に対応しているかどうかを確認することをお勧めします。
webservicesupport モジュールは、統計と設定情報を次の場所に書き込みます。
/etc/cloudservices
デフォルトの権限は、次のとおりです。
-
オーサー環境:
contributorsに対するread権限 -
パブリッシュ環境:
everyoneに対するread権限
クロスサイトリクエストフォージェリ攻撃からの保護
CSRF 攻撃を軽減するために AEM で採用されているセキュリティメカニズムについて詳しくは、セキュリティチェックリストの Sling リファラーフィルターの節と、CSRF 対策フレームワークのドキュメントを参照してください。
リソース
アドビアカウント
