A falsificação de solicitação entre sites (CSRF) é uma vulnerabilidade de site em que o navegador de um usuário válido é usado para enviar uma solicitação mal-intencionada, possivelmente por meio de um iFrame. Como o navegador envia cookies com base em domínio, se o usuário estiver conectado a um aplicativo, os dados do usuário podem ficar comprometidos.
Por exemplo, considere um cenário em que você esteja conectado ao console de administração em um navegador. Você recebe uma mensagem de email contendo um link. Você clica no link, que abre uma nova guia no navegador. A página que você abriu contém um iFrame oculto que faz uma solicitação mal-intencionada ao servidor do Forms usando o cookie da sua sessão autenticada do AEM forms. Como o Gerenciamento de usuários recebe um cookie válido, ele transmite a solicitação.
Referenciador: O endereço da página de origem da qual uma solicitação é recebida. Por exemplo, uma página da Web em site1.com contém um link para site2.com. Clicar no link publica uma solicitação em site2.com. O referenciador desta solicitação é site1.com porque a solicitação é feita de uma página cuja origem é site1.com.
Incluir na lista de permissões URIs resolvidas: Os URIs identificam recursos no servidor do Forms que estão sendo solicitados, por exemplo, /adminui ou /contentspace. Alguns recursos podem permitir que uma solicitação entre no aplicativo a partir de sites externos. Incluir na lista de permissões Esses recursos são considerados URIs classificados. O Forms incluir na lista de permissões Server nunca executa uma verificação de referenciador a partir de URIs.
Referenciador nulo: Quando você abre uma nova janela ou guia do navegador, digita um endereço e pressiona Enter, o referenciador é nulo. A solicitação é totalmente nova e não se origina de uma página da Web pai; portanto, não há referenciador para a solicitação. O servidor do Forms pode receber um referenciador nulo de:
Permitir um referenciador nulo em pontos de extremidade SOAP e REST. Também permite um referenciador nulo em todas as páginas de logon do URI, como /adminui e /contentspace, e seus recursos mapeados correspondentes. Por exemplo, o servlet mapeado para /contentspace é /contentspace/faces/jsp/login.jsp, que deve ser uma exceção de referenciador nulo. Essa exceção é necessária somente se você habilitar a filtragem de GET para seu aplicativo web. Seus aplicativos podem especificar se devem permitir referenciadores nulos. Consulte "Protegendo contra ataques de falsificação de solicitação entre sites" em Fortalecimento e segurança para formulários AEM.
Exceção de referenciador permitida: Exceção de referenciador permitido é uma sublista da lista de referenciadores permitidos, da qual as solicitações são bloqueadas. Permitido As exceções de referência são específicas a um aplicativo web. Se um subconjunto de Referenciadores permitidos não tiver permissão para chamar uma aplicação Web específica, você poderá incluir na lista de bloqueios os referenciadores por meio de Exceções de referenciador permitidas. As Exceções de referenciador permitidas são especificadas no arquivo web.xml do aplicativo. (Consulte "Protegendo contra ataques de falsificação de solicitação entre sites" em Fortalecimento e segurança para formulários AEM na página Ajuda e Tutorials.)
O AEM Forms fornece filtragem de referenciador, que pode ajudar a impedir ataques CSRF. Veja como a filtragem de referenciador funciona:
O Forms Server verifica o método HTTP usado para invocação:
O servidor do Forms incluir na lista de permissões verifica se o URI solicitado é:
Se houver um referenciador na solicitação, o servidor verificará se ele é um referenciador permitido. Se for permitido, o servidor verificará se há uma exceção do referenciador:
Se não houver referenciador na solicitação, o servidor verificará se um referenciador nulo é permitido.
Quando você executa o Configuration Manager, o host padrão e o endereço IP do Forms Server são adicionados à lista Referenciador permitido. Você pode editar essa lista no console de administração.
No console de administração, clique em Configurações > Gerenciamento de usuários > Configuração > Configurar URLs de referenciador permitidos. A lista Referenciador permitido é exibida na parte inferior da página.
Para adicionar um referenciador permitido:
0
(zero) nas caixas, todas as portas nesse servidor são ativadas. Você também pode inserir um número de porta específico para habilitar somente essa porta.Para remover a entrada da lista Referenciador permitido, selecione o item na lista e clique em Excluir.
Se a Lista de referenciadores permitidos estiver vazia, o recurso CSRF para de funcionar e o sistema fica inseguro.
Depois de alterar a lista de Referenciadores permitidos, reinicie o AEM Forms Server.