Dispatcher configureren om CSRF-aanvallen te voorkomen configuring-dispatcher-to-prevent-csrf-attacks
AEM biedt een raamwerk dat bedoeld is om aanvallen met vervalsingen van verzoeken tussen sites te voorkomen. Als u dit framework correct wilt gebruiken, moet u de volgende wijzigingen aanbrengen in de configuratie van de verzender:
- In de
/clientheaders
de sectie van uw auteur-farm.any en publish-farm.any, voegt de volgende ingang aan de bodem van de lijst toe:CSRF-Token
- In de /filters sectie van uw
author-farm.any
enpublish-farm.any
ofpublish-filters.any
bestand, voeg de volgende regel toe om aanvragen voor/libs/granite/csrf/token.json
via de verzender./0999 { /type "allow" /glob " * /libs/granite/csrf/token.json*" }
- Onder de
/cache /rules
deel van uwpublish-farm.any
voegt u een regel toe om te voorkomen dat de verzender detoken.json
bestand. Auteurs omzeilen caching doorgaans, dus u hoeft de regel niet toe te voegen aan uwauthor-farm.any
./0999 { /glob "/libs/granite/csrf/token.json" /type "deny" }
Om te bevestigen dat de configuratie werkt, bekijk de dispatcher.log in DEBUG wijze om te bevestigen dat het token.json- dossier niet in de cache wordt opgeslagen en niet door filters wordt geblokkeerd. U zou berichten moeten zien gelijkend op:... checking [/libs/granite/csrf/token.json]
... request URL not in cache rules: /libs/granite/csrf/token.json
... cache-action for [/libs/granite/csrf/token.json]: NONE
U kunt ook controleren of aanvragen slagen in uw apache access_log
. Verzoeken om "/libs/granite/csrf/token.json zouden een HTTP 200 statuscode moeten terugkeren.