Dispatcher 安全性檢查清單

Adobe強烈建議您在開始生產前先完成下列檢查清單。

注意

您也必須先完成AEM版本的安全性檢查清單,才能上線。 請參閱對應的Adobe Experience Manager檔案

使用最新版本的Dispatcher

您應安裝適用於您平台的最新可用版本。 您應將Dispatcher例項升級,以使用最新版本,以運用產品和安全性增強功能。 請參閱安裝Dispatcher

注意

您可以查看Dispatcher記錄檔,以檢查Dispatcher安裝的目前版本。

[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)

若要尋找記錄檔,請檢查httpd.conf中的Dispatcher設定。

限制可刷新快取的客戶端

Adobe建議您限制可刷新快取的客戶端。

為傳輸層安全啟用HTTPS

Adobe建議同時在製作和發佈執行個體上啟用HTTPS傳輸層。

限制訪問

設定Dispatcher時,您應盡可能限制外部存取。 請參閱Dispatcher檔案中的範例/filter Section

確保拒絕對管理URL的訪問

請務必使用篩選器來封鎖外部對任何管理URL(例如Web主控台)的存取。

如需需要封鎖的URL清單,請參閱測試Dispatcher安全性

使用允許清單,而非封鎖清單

允許清單是提供訪問控制的更好方法,因為它們本身認為,除非所有訪問請求明確屬於允許清單,否則應拒絕這些請求。 此模型對某些設定階段中可能尚未審核或考慮的新請求提供更嚴格的控制。

使用專用系統用戶運行Dispatcher

設定Dispatcher時,您應確保Web伺服器是由具有最低權限的專用使用者執行。 建議僅授予Dispatcher快取資料夾的寫入存取權。

此外,IIS用戶需要按如下方式配置其網站:

  1. 在網站的物理路徑設定中,選擇​作為特定用戶連接
  2. 設定使用者。

防止拒絕服務(DoS)攻擊

拒絕服務(DoS)攻擊是使電腦資源無法供其預定用戶使用的一種嘗試。

在Dispatcher層級,有兩種設定方法可防止DoS攻擊:[] (https://docs.adobe.com/content/docs/en/dispatcher.html#/filter (%E6%BF%BE%E9%8F%A1?lang=zh-Hant))

  • 使用mod_rewrite模組(例如Apache 2.4)執行URL驗證(如果URL模式規則不太複雜)。

  • 使用filters,防止Dispatcher快取具有假副檔名的URL。
    例如,變更快取規則,將快取限制為預期的MIME類型,例如:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    限制外部存取的範例設定檔案,這包括mime類型的限制。

若要安全地在發佈執行個體上啟用完整功能,請設定篩選器以防止存取下列節點:

  • /etc/
  • /libs/

接著,設定篩選器以允許存取下列節點路徑:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS、CSS和JSON)

  • /libs/cq/security/userinfo.json (CQ使用者資訊)

  • /libs/granite/security/currentuser.json (不得快取資料)

  • /libs/cq/i18n/* (內部化)

設定Dispatcher以防止CSRF攻擊

AEM提供framework ,旨在防止跨網站請求偽造攻擊。 為了正確運用此架構,您必須在Dispatcher中允許列出CSRF代號支援。 您可以透過下列方式執行此作業:

  1. 建立允許/libs/granite/csrf/token.json路徑的篩選器;
  2. CSRF-Token標題新增至Dispatcher設定的clientheaders區段。

防止Clickjacking

為防止點按劫持,我們建議您將網站伺服器設定為提供設為SAMEORIGINX-FRAME-OPTIONS HTTP標題。

有關點擊頂升的更多資訊,請參見OWASP站點

執行滲透測試

Adobe強烈建議您在開始生產前,先對AEM基礎架構執行滲透測試。

本頁內容