DocumentationAEM 6.5Guide de l’utilisateur

Le framework de protection CSRF the-csrf-protection-framework

Last update: Thu Apr 18 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Créé pour :

  • Developer

Outre le filtre référent Apache Sling, Adobe fournit également un nouveau framework de protection CSRF pour se protéger contre ce type d’attaque.

Le framework utilise des jetons pour garantir que la demande du client est légitime. Les jetons sont générés lorsque le formulaire est envoyé au client et validé lorsque le formulaire est renvoyé au serveur.

NOTE
Il n’y a aucun jeton sur les instances de publication pour les utilisateurs anonymes.

Conditions requises requirements

Dépendances dependencies

Tout composant associé à la dépendance granite.jquery bénéficie automatiquement du framework de protection CSRF. Si ce n’est pas le cas pour l’un de vos composants, vous devez déclarer une dépendance à granite.csrf.standalone avant de pouvoir utiliser le framework.

Réplication de la clé de chiffrement replicating-crypto-keys

Pour utiliser les jetons, vous devez répliquer le HMAC binaire sur toutes les instances de votre déploiement. Voir Répliquer la clé HMAC pour plus d’informations.

NOTE
Assurez-vous également d’effectuer les modifications de configuration de Dispatcher nécessaires pour utiliser le framework de protection CSRF.
NOTE
Si vous utilisez le cache de manifeste avec votre application web, veillez à ajouter «  *  » au manifeste afin de vous assurer que le jeton ne met pas hors ligne l’appel de génération de jeton CSRF. Pour plus d’informations, consultez ce lien.

Pour plus d’informations sur les attaques CSRF et les moyens de s’en protéger, consultez la page [Cross-Site Request Forgery OWASP](https://owasp.org/www-community/attacks/csrf).

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2