Dispatcher 安全核对清单

Adobe强烈建议您在开始生产之前完成以下核对清单。

注意

您还必须在AEM上市前完成版本的安全核对清单。 请参阅相应的Adobe Experience Manager 文件

使用最新版的Dispatcher

您应安装适用于您的平台的最新可用版本。 您应升级Dispatcher实例,以使用最新版本来利用产品和安全增强功能。 请参 阅安装Dispatcher

注意

您可以通过查看调度程序日志文件来检查调度程序安装的当前版本。

[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)

要查找日志文件,请检查您的调度程序配置 httpd.conf

限制可刷新缓存的客户端

Adobe建议您限 制可以刷新缓存的客户端。

为传输层安全启用HTTPS

Adobe建议在创作和发布实例上启用HTTPS传输层。

限制访问

配置调度程序时,应尽可能限制外部访问。 请参 阅调度程序文档中 的示例/filter部分。

确保拒绝访问管理URL

确保使用过滤器阻止对任何管理URL(如Web控制台)的外部访问。

请参 阅测试Dispatcher Security以获取需要阻止的URL列表。

使允许列表用代替阻止列表

允许列表是提供访问控制的更好方式,因为它们本身就认为,除非明确属于,否则应拒绝所有访问请求允许列表。 此模型对某些配置阶段可能尚未审核或考虑的新请求提供更严格的控制。

与专用系统用户一起运行调度程序

配置调度程序时,您应确保Web服务器由具有最少权限的专用用户运行。 建议仅授予对调度程序缓存文件夹的写访问权限。

此外,IIS用户需要按如下方式配置其网站:

  1. 在网站的物理路径设置中,选择Connect 作为特定用户
  2. 设置用户。

防止拒绝服务(DoS)攻击

拒绝服务(DoS)攻击是试图使计算机资源对其预期用户不可用。

在调度程序级别,有两种配置方法可防止DoS攻击:

  • 使用mod_rewrite模块(例如, Apache 2.4)执行URL验证(如果URL模式规则不太复杂)。

  • 通过使用过滤器,防止调度程序缓存具有虚假扩展的 URL
    例如,更改缓存规则以将缓存限制为预期的mime类型,例如:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    可以看到限制外部访问的 示例配置文件,这包括MIME类型的限制。

要安全地在发布实例上启用完整功能,请配置过滤器以阻止访问以下节点:

  • /etc/
  • /libs/

然后,配置过滤器以允许访问以下节点路径:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS、CSS和JSON)

  • /libs/cq/security/userinfo.json (CQ用户信息)

  • /libs/granite/security/currentuser.json (数据不得缓存)

  • /libs/cq/i18n/* (内部化)

Configure Dispatcher to prevent CSRF Attacks

AEM提供了 旨在 防止跨站点请求伪造攻击的框架。 为了正确利用此框架,您需要在调度程允许列表序中CSRF令牌支持。 可通过以下方式执行此操作:

  1. 创建允许路径的 /libs/granite/csrf/token.json 过滤器;
  2. 将标 CSRF-Token 头添加到调 clientheaders 度程序配置的部分。

防止点击劫持

为防止点击劫持,我们建议您配置Web服务器以提供 X-FRAME-OPTIONS 设置为的HTTP头 SAMEORIGIN

有关点击 劫持的更多信息,请参阅OWASP站点

执行渗透测试

Adobe强烈建议在开始生产之前对AEM基础架构执行渗透测试。

在此页面上