Configurer Adobe Experience Manager Dispatcher afin d’empêcher les attaques CSRF configuring-dispatcher-to-prevent-csrf-attacks
AEM (Adobe Experience Manager) fournit un framework conçu pour empêcher les attaques CSRF. Pour utiliser correctement ce framework, apportez les modifications suivantes à votre configuration de Dispatcher :
-
Dans la section
/clientheadersdeauthor-farm.anyetpublish-farm.any, ajoutez l’entrée suivante au bas de la liste :CSRF-Token -
Dans la section /filters de vos fichiers
author-farm.anyetpublish-farm.anyoupublish-filters.any, ajoutez la ligne suivante afin d’autoriser les requêtes pour/libs/granite/csrf/token.jsonau moyen de Dispatcher./0999 { /type "allow" /glob " * /libs/granite/csrf/token.json*" } -
Dans la section
/cache /rulesde votre fichierpublish-farm.any, ajoutez une règle permettant d’empêcher Dispatcher de mettre en cache le fichiertoken.json. En général, les auteurs et autrices contournent la mise en cache, de sorte que vous n’avez pas à ajouter de règle au fichierauthor-farm.any./0999 { /glob "/libs/granite/csrf/token.json" /type "deny" }
Pour vérifier que la configuration fonctionne, consultez le fichier dispatcher.log en mode DEBUG (débogage). Cela vous permet de vérifier le fichier token.json afin de vous assurer qu’il n’est pas mis en cache ou bloqué par des filtres. Des messages de ce type peuvent apparaître :... checking [/libs/granite/csrf/token.json]... request URL not in cache rules: /libs/granite/csrf/token.json... cache-action for [/libs/granite/csrf/token.json]: NONE
Vous pouvez également vérifier que les demandes réussissent dans le fichier Apache access_log. Les requêtes pour ``/libs/granite/csrf/token.json doivent renvoyer le code d’état HTTP 200.