安全性

Application Security在开发阶段启动。 Adobe建议应用以下安全最佳实践。

使用请求会话

按照最小权限原则，Adobe建议使用绑定到用户请求的会话和适当的访问控制来完成每次存储库访问。

Protect防止跨站点脚本(XSS)

跨站点脚本(XSS)允许攻击者将代码注入其他用户查看的网页中。 此安全漏洞可被恶意Web用户利用来绕过访问控制。

AEM应用了在输出时筛选所有用户提供的内容的原则。 在开发和测试过程中，防御XSS被列为最高优先事项。

AEM提供的XSS保护机制基于 AntiSamy Java™库 提供者 OWASP（开放Web应用程序安全项目）. 默认AntiSamy配置位于

/libs/cq/xssprotection/config.xml

请务必通过覆盖配置文件来调整此配置，以满足您自己的安全需求。 官方的 AntiSamy文档 为您提供实施安全要求所需的所有信息。

此外，Web应用程序防火墙，例如 适用于Apache的mod_security提供了对部署环境的安全性的可靠集中控制，并抵御以前未检测到的跨站点脚本攻击。

访问Cloud Service信息

当您 将AEM实例与Adobe Experience Cloud集成，您使用 Cloud Service配置. 有关这些配置的信息以及收集的任何统计信息都存储在存储库中。 Adobe建议，如果使用此功能，应检查此信息的默认安全性是否符合您的要求。

webservicesupport模块将统计信息和配置信息写入以下位置：

/etc/cloudservices

具有默认权限：

• 创作环境： read 对象 contributors

• 发布环境： read 对象 everyone

Protect抵御跨站点请求伪造攻击

有关AEM用于缓解CSRF攻击的安全机制的更多信息，请参阅 Sling引用过滤器 安全核对清单和 CSRF保护框架文档.