Seguridad security

La seguridad de la aplicación se inicia durante la fase de desarrollo. El Adobe recomienda aplicar las siguientes prácticas recomendadas de seguridad.

Usar sesión de solicitud use-request-session

Siguiendo el principio de menor privilegio, Adobe recomienda que cada acceso al repositorio se realice mediante la sesión enlazada a la solicitud del usuario y el control de acceso adecuado.

Protect con scripts en sitios múltiples (XSS) protect-against-cross-site-scripting-xss

El proceso de ejecución de scripts en sitios múltiples (XSS) permite a los atacantes insertar código en páginas web que han visto otros usuarios. Los usuarios web malintencionados pueden aprovechar esta vulnerabilidad de seguridad para evitar los controles de acceso.

AEM Se aplica el principio de filtrado de todo el contenido proporcionado por el usuario en la salida. La prevención de XSS tiene la máxima prioridad tanto durante el desarrollo como durante las pruebas.

AEM El mecanismo de protección XSS proporcionado por los usuarios de la aplicación se basa en la biblioteca AntiSamy Java™ proporcionada por OWASP (el proyecto Open Web Application Security). La configuración predeterminada de AntiSamy se encuentra en

/libs/cq/xssprotection/config.xml

Es importante que adapte esta configuración a sus propias necesidades de seguridad superponiendo el archivo de configuración. La documentación oficial de AntiSamy le proporciona toda la información que necesita para implementar sus requisitos de seguridad.

NOTE
Adobe AEM recomienda que siempre acceda a la API de protección XSS usando el XSSAPI proporcionado por el usuario de protección XSSs.

Además, un firewall de aplicaciones web, como mod_security para Apache, puede proporcionar un control central y confiable sobre la seguridad del entorno de implementación y protegerlo contra ataques de scripts entre sitios que no se habían detectado anteriormente.

Acceso a la información del Cloud Service access-to-cloud-service-information

NOTE
Las ACL de la información del Cloud Service y la configuración de OSGi necesarias para proteger su instancia están automatizadas como parte del Modo listo para la producción. Aunque esto significa que no necesita cambiar la configuración manualmente, se recomienda revisarla antes de activarla con la implementación.

AEM Cuando integra su instancia de con Adobe Experience Cloud, utiliza configuraciones de Cloud Service. La información sobre estas configuraciones, junto con las estadísticas recopiladas, se almacenan en el repositorio. El Adobe recomienda que, si utiliza esta funcionalidad, revise si la seguridad predeterminada de esta información coincide con sus necesidades.

El módulo webservicesupport escribe estadísticas e información de configuración en:

/etc/cloudservices

Con los permisos predeterminados:

  • Entorno de creación: read para contributors

  • Entorno Publish: read para everyone

Protect contra ataques de falsificación de solicitud en sitios múltiples protect-against-cross-site-request-forgery-attacks

AEM Para obtener más información sobre los mecanismos de seguridad que emplea el para mitigar los ataques CSRF, consulte la sección Filtro de referente de Sling de la lista de comprobación de seguridad y la documentación del marco de protección CSRF.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2