DocumentaciónAEM 6.5 LTSGuía del usuario

Seguridad security

Last update: Wed Apr 30 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Se aplica a:
  • Experience Manager 6.5 LTS
  • Temas:

Creado para:

  • Desarrollador

La seguridad de la aplicación se inicia durante la fase de desarrollo. Adobe recomienda aplicar las siguientes prácticas recomendadas de seguridad.

Usar sesión de solicitud use-request-session

Siguiendo el principio de menor privilegio, Adobe recomienda que cada acceso al repositorio se realice mediante la sesión enlazada a la solicitud del usuario y el control de acceso adecuado.

Proteger contra scripts en sitios múltiples (XSS) protect-against-cross-site-scripting-xss

El proceso de ejecución de scripts en sitios múltiples (XSS) permite a los atacantes insertar código en páginas web que han visto otros usuarios. Los usuarios web malintencionados pueden aprovechar esta vulnerabilidad de seguridad para evitar los controles de acceso.

AEM aplica el principio de filtrar todo el contenido proporcionado por el usuario al generar la salida. La prevención de XSS tiene la máxima prioridad tanto durante el desarrollo como durante las pruebas.

El mecanismo de protección XSS proporcionado por AEM se basa en la biblioteca AntiSamy Java™ proporcionada por OWASP (The Open Web Application Security Project). La configuración predeterminada de AntiSamy se encuentra en

/libs/cq/xssprotection/config.xml

Es importante que adapte esta configuración a sus propias necesidades de seguridad superponiendo el archivo de configuración. La documentación oficial de AntiSamy le proporciona toda la información que necesita para implementar sus requisitos de seguridad.

NOTE
Adobe recomienda que siempre acceda a la API de protección XSS usando el XSSAPI proporcionado por AEM.

Además, un firewall de aplicaciones web, como mod_security para Apache, puede proporcionar un control central y confiable sobre la seguridad del entorno de implementación y protegerlo contra ataques de scripts entre sitios que no se habían detectado anteriormente.

Acceso a la información de Cloud Service access-to-cloud-service-information

NOTE
Las ACL de la información de Cloud Service y la configuración de OSGi necesaria para proteger su instancia están automatizadas como parte del Modo listo para la producción. Aunque esto significa que no necesita cambiar la configuración manualmente, se recomienda revisarla antes de activarla con la implementación.

Cuando integra su instancia de AEM con Adobe Experience Cloud, utiliza configuraciones de Cloud Service. La información sobre estas configuraciones, junto con las estadísticas recopiladas, se almacenan en el repositorio. Adobe recomienda que, si utiliza esta funcionalidad, compruebe si la seguridad predeterminada de esta información coincide con sus necesidades.

El módulo webservicesupport escribe estadísticas e información de configuración en:

/etc/cloudservices

Con los permisos predeterminados:

  • Entorno de creación: read para contributors

  • Entorno de publicación: read para everyone

Proteger contra ataques de falsificación de solicitud en sitios múltiples protect-against-cross-site-request-forgery-attacks

Para obtener más información sobre los mecanismos de seguridad que utiliza AEM para mitigar los ataques CSRF, consulte la sección Filtro de referente de Sling de la lista de comprobación de seguridad y la documentación del marco de protección CSRF.

recommendation-more-help
51c6a92d-a39d-46d7-8e3e-2db9a31c06a2