应用程序安全开始。 Adobe建议应用以下安全最佳实践。
遵循最少权限的原则,Adobe建议通过使用绑定到用户请求的会话和适当的访问控制来完成每个存储库访问。
跨站点脚本(XSS)使攻击者能够将代码插入其他用户查看的网页中。 恶意Web用户可能利用此安全漏洞绕过访问控制。
AEM在输出时应用过滤所有用户提供的内容的原则。 在开发和测试过程中,防止XSS是最优先的任务。
AEM提供的XSS保护机制基于由OWASP(开放Web 应用程序安全项目)提供的AntiSamy Java库。 默认AntiSamy配置位于
/libs/cq/xssprotection/config.xml
通过覆盖配置文件来调整此配置以满足您自己的安全需求非常重要。 官方的AntiSamy文档将为您提供执行您的安全要求所需的所有信息。
我们强烈建议您始终使用AEM](https://helpx.adobe.com/cn/experience-manager/6-5/sites/developing/using/reference-materials/javadoc/com/adobe/granite/xss/XSSAPI.html)提供的[XSSAPI访问XSS保护API。
此外,Web应用程序防火墙(如Apache](https://www.modsecurity.org)的[mod_security)可以提供对部署环境安全的可靠、集中的控制,并防止以前未检测到的跨站点脚本攻击。
Cloud Service信息的ACL以及保护实例所需的OSGi设置作为生产就绪模式的一部分自动执行。 这意味着您无需手动更改配置,但仍建议您在部署开始之前先查看这些更改。
当您将AEM实例与Adobe Marketing Cloud集成时,您使用Cloud Service配置。 有关这些配置的信息以及收集的任何统计信息都存储在存储库中。 我们建议您,如果您使用此功能,则查看此信息的默认安全性是否与您的要求相符。
webservicesupport模块将统计信息和配置信息写入:
/etc/cloudservices
具有默认权限:
创作环境:contributors
的read
发布环境:everyone
的read
有关AEM用于缓解CSRF攻击的安全机制的详细信息,请参见安全清单的Sling推荐人过滤器部分和CSRF保护框架文档。