- Visão geral
- Introdução ao AEM as a Cloud Service
- Integrações da Experience Cloud
- Tecnologia subjacente
- Edge Delivery Services
- Cloud Manager
- Configuração do ambiente de desenvolvimento local
- Desenvolvimento
- Extensibilidade
- Noções básicas de desenvolvimento
- Projetos AEM
- Serviços OSGi
- Avançado
- Ambiente de desenvolvimento rápido
- JavaDocs da API do SDK do AEM
- Depuração do AEM
- Entrega de conteúdo
- Armazenamento em cache
- Acesso ao AEM
- Autenticação
- Rede avançada
- Segurança
- Migração
- Ferramenta Transferência de conteúdo
- Importação em massa de ativos
- Migração para o AEM as a Cloud Service
- Cloud Acceleration Manager
- Introdução
- Analisador de práticas recomendadas e disponibilidade
- Fase de implementação
- Ferramenta Transferência de conteúdo
- Ferramentas de refatoração de código
- Modernizador do repositório de código
- Conversor do Dispatcher Converter
- Conversor de índice
- Ferramenta Migração de fluxo de trabalho de ativos
- Navegação no Cloud Acceleration Manager
- Utilização do Cloud Acceleration Manager
- Fragmentos de conteúdo
- Forms
- Desenvolvimento do Forms as a Cloud Service
- 1 - Introdução
- 2 - Instalar IntelliJ
- 3 - Configuração do Git
- 4 - Sincronizar IntelliJ com AEM
- 5 - Criar um formulário
- 6 - Manipulador de envio personalizado
- 7 - Registrar servlet usando tipo de recurso
- 8 - Ativar os componentes do portal do Forms
- 9 - Incluir Cloud Service e FDM
- 10 - Configuração em nuvem com reconhecimento de contexto
- 11 - Encaminhar para o Cloud Manager
- 12 - Implantar no ambiente de desenvolvimento
- 13 - Atualização do arquétipo maven
- Criar formulário adaptável
- Serviço de envio personalizado com formulário headless
- AEM Forms e Analytics
- Geração de documentos no AEM Forms CS
- Geração de documentos usando a API em lote
- Manipulação de PDF no Forms CS
- Armazenar envios de formulário com tags de índice Blob
- Armazenamento do Portal do Azure
- Salvar e retomar o preenchimento do formulário
- Criar Fluxo de Trabalho de Revisão
- Acrobat Sign com AEM Forms
- Integração com o Microsoft Power Automate
- Integrar ao Microsoft Dynamics
- Integrar ao Salesforce
- Armazenar envios de formulários em uma unidade e no SharePoint
- Desenvolvimento do Forms as a Cloud Service
- Extensibilidade do Asset compute
- Tutorials em várias etapas
- Recursos de especialistas
Proteção CSRF
Saiba como gerar e adicionar tokens CSRF AEM a POST, PUT AEM e solicitações de exclusão permitidas do para usuários autenticados.
O AEM requer que um token CSRF válido seja enviado para autenticado POST, __PUT ou DELETE Solicitações HTTP para os serviços de Autor e Publicação do AEM.
O token CSRF não é necessário para GET solicitações ou anônimo solicitações.
Se um token CSRF não for enviado com uma solicitação POST, PUT ou DELETE, o AEM AEM retornará uma resposta 403 Proibido e o registrará o seguinte erro:
[INFO][POST /path/to/aem/endpoint HTTP/1.1][com.adobe.granite.csrf.impl.CSRFFilter] isValidRequest: empty CSRF token - rejecting
[INFO][POST /path/to/aem/endpoint HTTP/1.1][com.adobe.granite.csrf.impl.CSRFFilter] doFilter: the provided CSRF token is invalid
Consulte a documentação para obter mais detalhes sobre a proteção AEM CSRF.
Biblioteca cliente CSRF
O AEM fornece uma biblioteca de cliente que pode ser usada para gerar e adicionar tokens CSRF XHR e solicitações de POST de formulário, por meio do patch de funções de protótipo principais. A funcionalidade é fornecida pela variável granite.csrf.standalone categoria da biblioteca do cliente.
Para usar essa abordagem, adicione granite.csrf.standalone como uma dependência ao carregamento da biblioteca do cliente na sua página. Por exemplo, se estiver usando a variável wknd.site categoria da biblioteca do cliente, adicionar granite.csrf.standalone como uma dependência ao carregamento da biblioteca do cliente na sua página.
Envio de formulário personalizado com proteção CSRF
Se a utilização de granite.csrf.standalone biblioteca do cliente não for compatível com seu caso de uso, você poderá adicionar manualmente um token CSRF ao envio de um formulário. O exemplo a seguir mostra como adicionar um token CSRF ao envio de um formulário.
Este trecho de código demonstra como, durante o envio de um formulário, o token CSRF pode ser obtido do AEM e adicionado a uma entrada de formulário chamada :cq_csrf_token. Como o token CSRF tem uma vida útil curta, é melhor recuperar e definir o token CSRF imediatamente antes do envio do formulário, garantindo sua validade.
// Attach submit handler event to form onSubmit
document.querySelector('form').addEventListener('submit', async (event) => {
event.preventDefault();
const form = event.target;
const response = await fetch('/libs/granite/csrf/token.json');
const json = await response.json();
// Create a form input named ``:cq_csrf_token`` with the CSRF token.
let csrfTokenInput = form.querySelector('input[name=":cq_csrf_token"]');
if (!csrfTokenInput?.value) {
// If the form does not have a CSRF token input, add one.
form.insertAdjacentHTML('beforeend', `<input type="hidden" name=":cq_csrf_token" value="${json.token}">`);
} else {
// If the form already has a CSRF token input, update the value.
csrfTokenInput.value = json.token;
}
// Submit the form with the hidden input containing the CSRF token
form.submit();
});
Buscar com proteção CSRF
Se a utilização de granite.csrf.standalone biblioteca do cliente não for compatível com seu caso de uso, é possível adicionar manualmente um token CSRF a um XHR ou buscar solicitações. O exemplo a seguir mostra como adicionar um token CSRF a um XHR criado com a busca.
Este trecho de código demonstra como buscar um token CSRF do AEM e adicioná-lo a solicitações de busca CSRF-Token cabeçalho da solicitação HTTP. Como o token CSRF tem uma vida útil curta, é melhor recuperar e definir o token CSRF imediatamente antes de fazer a solicitação de busca, garantindo sua validade.
/**
* Get CSRF token from AEM.
* CSRF token expire after a few minutes, so it is best to get the token before each request.
*
* @returns {Promise<string>} that resolves to the CSRF token.
*/
async function getCsrfToken() {
const response = await fetch('/libs/granite/csrf/token.json');
const json = await response.json();
return json.token;
}
// Fetch from AEM with CSRF token in a header named 'CSRF-Token'.
await fetch('/path/to/aem/endpoint', {
method: 'POST',
headers: {
'CSRF-Token': await getCsrfToken()
},
});
Configuração do Dispatcher
Ao usar tokens CSRF no serviço de publicação do AEM, a configuração do Dispatcher deve ser atualizada para permitir solicitações GET para o endpoint do token CSRF. A configuração a seguir permite solicitações do GET para o endpoint do token CSRF no serviço de publicação do AEM. Se essa configuração não for adicionada, o endpoint do token CSRF retornará uma resposta 404 Não encontrado.
dispatcher/src/conf.dispatcher.d/filters/filters.any
...
/0120 { /type "allow" /method "GET" /url "/libs/granite/csrf/token.json" }
...
Recursos
Conta do Adobe
