Configurazione di Dispatcher per impedire attacchi CSRF

AEM fornisce un framework per prevenire attacchi di contraffazione delle richieste cross-site. Per utilizzare correttamente questo framework, è necessario apportare le seguenti modifiche alla configurazione del dispatcher:

NOTA

Accertatevi di aggiornare i numeri delle regole negli esempi seguenti in base alla configurazione esistente. Tenere presente che i dispatcher utilizzeranno l'ultima regola di corrispondenza per concedere o negare un'autorizzazione, quindi posizionare le regole vicino alla parte inferiore dell'elenco esistente.

  1. Nella sezione /clientheaders di author-farm.any e publish-farm.any, aggiungete la seguente voce in fondo all’elenco:
    CSRF-Token
  2. Nella sezione /filter del file author-farm.any e publish-farm.any o publish-filters.any, aggiungere la seguente riga per consentire le richieste di /libs/granite/csrf/token.json tramite il dispatcher.
    /0999 { /type "allow" /glob " * /libs/granite/csrf/token.json*" }
  3. Nella sezione /cache /rules del publish-farm.any, aggiungere una regola per bloccare il dispatcher dal caching del file token.json. Generalmente gli autori non passano nella cache, pertanto non è necessario aggiungere la regola nel author-farm.any.
    /0999 { /glob "/libs/granite/csrf/token.json" /type "deny" }

Per verificare che la configurazione funzioni, controlla il file dispatcher.log in modalità DEBUG per verificare che il file token.json non sia memorizzato nella cache e non sia bloccato dai filtri. Dovresti visualizzare messaggi simili a:
... checking [/libs/granite/csrf/token.json]
... request URL not in cache rules: /libs/granite/csrf/token.json
... cache-action for [/libs/granite/csrf/token.json]: NONE

È inoltre possibile verificare che le richieste abbiano esito positivo nell'apache access_log. Le richieste per "/libs/granite/csrf/token.json devono restituire un codice di stato HTTP 200.

In questa pagina

Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now