Il framework di protezione CSRF the-csrf-protection-framework

Oltre al filtro Apache Sling Referrer, Adobe fornisce anche un nuovo framework di protezione CSRF per proteggere da questo tipo di attacchi.

Il framework utilizza i token per garantire che la richiesta del cliente sia legittima. I token vengono generati quando il modulo viene inviato al client e convalidati quando il modulo viene inviato nuovamente al server.

NOTE
Le istanze di pubblicazione non contengono token per gli utenti anonimi.

Requisiti requirements

Dipendenze dependencies

Qualsiasi componente che si basa sulla dipendenza granite.jquery può beneficiare automaticamente del framework di protezione CSRF. In caso contrario, per qualsiasi componente è necessario dichiarare una dipendenza a granite.csrf.standalone prima di poter utilizzare il framework.

Replica della chiave di crittografia replicating-crypto-keys

Per utilizzare i token, devi replicare il file binario HMAC in tutte le istanze della distribuzione. Per ulteriori dettagli, vedere Replica della chiave HMAC.

NOTE
Assicurati anche di apportare le modifiche alla configurazione di Dispatcher necessarie per utilizzare CSRF Protection Framework.
NOTE
Se utilizzi la cache del manifesto con l'applicazione Web, assicurati di aggiungere "*" al manifesto per assicurarti che il token non metta offline la chiamata di generazione del token CSRF. Per ulteriori informazioni, consulta questo collegamento.
Per ulteriori informazioni sugli attacchi CSRF e sui modi per mitigarli, vedere la pagina OWASP Cross-Site Request Forgery.
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2