Supporto nonce dei criteri sulla sicurezza dei contenuti per gli script in linea in AEM Sites
Una rigorosa politica sulla sicurezza dei contenuti (Content Security Policy, CSP) riduce i rischi per la sicurezza, come il vulnerabilità cross-site scripting (XSS). Nei siti Adobe Experience Manager (AEM), l'utilizzo di script-src 'unsafe-inline' e 'unsafe-eval' abilita gli script in linea ma introduce vulnerabilità. Questa guida spiega se AEM Sites supporta nonce CSP o alternative sicure per il caricamento di script in linea senza direttive non sicure.
Per risolvere questo problema, dovrai rieseguire il factoring degli script in linea e implementare la gestione personalizzata dei nonce.
Descrizione description
Ambiente
Prodotto: AEM as a Cloud Service - Sites
Problema/Sintomi
- Impossibile caricare gli script in linea quando CSP esclude
'unsafe-inline'e'unsafe-eval'. - La rimozione di questi flag viene segnalata come un rischio per la sicurezza, ma interrompe le funzionalità.
- È necessario un metodo sicuro come i nonce CSP per consentire l’esecuzione di script in linea senza compromettere la sicurezza.
Risoluzione resolution
Considerazioni chiave:
- AEM Sites non fornisce il supporto predefinito per i nonce CSP.
- AEM non decora automaticamente i suoi script in linea con nonce.
-
Per applicare criteri CSP più severi senza direttive non sicure (ovvero escludendo
unsafe-inline/unsafe-eval:- Refactoring degli script in linea in file JavaScript esterni. Per ulteriori informazioni, consulta Configurazione di un CSP nella documentazione di Experience Platform.
- Crea una soluzione personalizzata per generare e inserire nonce, se necessario.
-
Verifica tutte le modifiche per assicurarti che la funzionalità della pagina non venga interrotta.
Note:
- L’assenza di CSP non costituisce una vulnerabilità intrinseca in AEM, ma funge da ulteriore livello di difesa. Consulta Panoramica sui criteri di sicurezza dei contenuti nella documentazione di Commerce.
- L’implementazione personalizzata è necessaria per un’applicazione CSP più rigorosa rispetto a quella supportata attualmente come standard.