Dispatcher configureren om CSRF-aanvallen te voorkomen configuring-dispatcher-to-prevent-csrf-attacks
AEM biedt een raamwerk dat bedoeld is om aanvallen met vervalsingen van verzoeken tussen sites te voorkomen. Als u dit framework correct wilt gebruiken, moet u de volgende wijzigingen aanbrengen in de configuratie van de verzender:
- In de
/clientheadersde sectie van uw auteur-farm.any en publish-farm.any, voegt de volgende ingang aan de bodem van de lijst toe:CSRF-Token - In de /filters sectie van uw
author-farm.anyenpublish-farm.anyofpublish-filters.anybestand, voeg de volgende regel toe om aanvragen voor/libs/granite/csrf/token.jsonvia de verzender./0999 { /type "allow" /glob " * /libs/granite/csrf/token.json*" } - Onder de
/cache /rulesdeel van uwpublish-farm.anyvoegt u een regel toe om te voorkomen dat de verzender detoken.jsonbestand. Auteurs omzeilen caching doorgaans, dus u hoeft de regel niet toe te voegen aan uwauthor-farm.any./0999 { /glob "/libs/granite/csrf/token.json" /type "deny" }
Om te bevestigen dat de configuratie werkt, bekijk de dispatcher.log in DEBUG wijze om te bevestigen dat het token.json- dossier niet in de cache wordt opgeslagen en niet door filters wordt geblokkeerd. U zou berichten moeten zien gelijkend op:... checking [/libs/granite/csrf/token.json]... request URL not in cache rules: /libs/granite/csrf/token.json... cache-action for [/libs/granite/csrf/token.json]: NONE
U kunt ook controleren of aanvragen slagen in uw apache access_log. Verzoeken om "/libs/granite/csrf/token.json zouden een HTTP 200 statuscode moeten terugkeren.