DocumentazioneAEM 6.4Guida allo sviluppo

Sicurezza security

Last update: Thu May 04 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Creato per:

  • Developer
CAUTION
AEM 6.4 ha raggiunto la fine del supporto esteso e questa documentazione non viene più aggiornata. Per maggiori dettagli, consulta la nostra periodi di assistenza tecnica. Trova le versioni supportate qui.

La sicurezza dell'applicazione viene avviata durante la fase di sviluppo. Adobe consiglia di applicare le seguenti best practice di sicurezza.

Usa sessione di richiesta use-request-session

In base al principio del privilegio minimo, l'Adobe raccomanda che ogni accesso all'archivio venga effettuato utilizzando la sessione associata alla richiesta dell'utente e al controllo di accesso adeguato.

Protect contro lo scripting tra siti (XSS) protect-against-cross-site-scripting-xss

Lo scripting tra siti (XSS) consente agli aggressori di inserire codice nelle pagine web visualizzate da altri utenti. Questa vulnerabilità di sicurezza può essere sfruttata da utenti web malintenzionati per aggirare i controlli di accesso.

AEM applica il principio di filtrare tutti i contenuti forniti dall’utente al momento dell’output. La prevenzione di XSS viene data la massima priorità sia durante lo sviluppo che durante i test.

Il meccanismo di protezione XSS fornito da AEM si basa sul Libreria Java AntiSamy fornito da OWASP (il progetto di sicurezza dell'applicazione Web aperta). La configurazione predefinita di AntiSamy si trova in

/libs/cq/xssprotection/config.xml

È importante adattare questa configurazione alle tue esigenze di sicurezza sovrapponendo il file di configurazione. Il funzionario Documentazione di AntiSamy ti fornirà tutte le informazioni necessarie per implementare i tuoi requisiti di sicurezza.

NOTE
Ti consigliamo vivamente di accedere sempre all’API di protezione XSS utilizzando XSSAPI fornito da AEM.

Inoltre, un firewall per applicazioni web, come mod_security per Apache, può fornire un controllo centrale affidabile sulla sicurezza dell’ambiente di distribuzione e proteggere da attacchi di script tra siti non rilevati in precedenza.

Accesso alle informazioni sul Cloud Service access-to-cloud-service-information

NOTE
Le ACL per le informazioni sul Cloud Service e le impostazioni OSGi necessarie per proteggere l'istanza sono automatizzate come parte del Modalità pronta per la produzione. Ciò significa che non è necessario apportare manualmente le modifiche di configurazione, ma è comunque consigliabile rivederle prima di iniziare a utilizzare la distribuzione.

Quando integrare l’istanza AEM con Adobe Marketing Cloud utilizzi Configurazioni Cloud Service. Le informazioni su queste configurazioni, insieme a eventuali statistiche raccolte, sono memorizzate nel repository. Se utilizzi questa funzionalità, ti consigliamo di verificare se la protezione predefinita di queste informazioni corrisponde ai tuoi requisiti.

Il modulo webservicesupport scrive statistiche e informazioni di configurazione in:

/etc/cloudservices

Con le autorizzazioni predefinite:

  • Ambiente di authoring: read per contributors

  • Ambiente di pubblicazione: read per everyone

Protect contro attacchi di falsificazione di richieste intersito protect-against-cross-site-request-forgery-attacks

Per ulteriori informazioni sui meccanismi di sicurezza AEM utilizzati per attenuare gli attacchi CSRF, consulta la Filtro Sling Referrer della lista di controllo della sicurezza e Documentazione del quadro di protezione CSRF.

recommendation-more-help
2315f3f5-cb4a-4530-9999-30c8319c520e