Documentation

Prise en charge à usage unique de la politique de sécurité du contenu pour les scripts intégrés dans AEM Sites

Last update: Wed Dec 24 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Une politique de sécurité du contenu (CSP) stricte réduit les risques de sécurité, tels que les scripts de site à site (XSS). Dans Adobe Experience Manager (AEM) Sites, l’utilisation de script-src 'unsafe-inline' et 'unsafe-eval' active les scripts intégrés, mais introduit des vulnérabilités. Ce guide explique si AEM Sites prend en charge les nonces CSP ou des alternatives sécurisées pour le chargement de scripts intégrés sans directives non sécurisées.

Pour corriger ce problème, vous devez refactoriser les scripts intégrés et implémenter la gestion personnalisée des nonce.

Description description

Environnement

Produit : AEM as a Cloud Service - Sites

Problème/Symptômes

  • Les scripts intégrés ne se chargent pas lorsque la CSP exclut 'unsafe-inline' et 'unsafe-eval'.
  • La suppression de ces indicateurs est considérée comme un risque de sécurité, mais perturbe les fonctionnalités.
  • Une méthode sécurisée telle que CSP nonces est nécessaire pour permettre l’exécution de scripts intégrés sans compromettre la sécurité.

Résolution resolution

Considérations principales :

  • AEM Sites ne fournit pas de prise en charge prête à l’emploi pour les nonces CSP.
  • AEM n’enrichit pas automatiquement ses scripts intégrés avec des nonces.

  1. Pour appliquer des politiques CSP plus strictes sans directives dangereuses (c.-à-d. en excluant unsafe-inline/unsafe-eval :

    • Refactorisation des scripts intégrés en fichiers JavaScript externes Pour plus d’informations, voir Configuration d’un fichier CSP dans la documentation d’Experience Platform.
    • Créez une solution personnalisée pour générer et injecter des nonces, si nécessaire.

  2. Testez toutes les modifications pour vous assurer que les fonctionnalités de la page ne sont pas perturbées.

Notes:

  • L’absence de CSP n’est pas une vulnérabilité inhérente à AEM ; elle constitue un niveau de défense supplémentaire. Voir Présentation de la politique de sécurité du contenu dans la documentation de Commerce.
  • Une implémentation personnalisée est nécessaire pour une application CSP plus stricte, au-delà de ce qui est actuellement pris en charge par défaut.
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f