Il framework di protezione CSRF the-csrf-protection-framework

Last update: Mon Jul 22 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Argomenti:
Sviluppo

Creato per:

Sviluppatore

Oltre al filtro Apache Sling Referrer, Adobe fornisce anche un nuovo framework di protezione CSRF per proteggere da questo tipo di attacchi.

Il framework utilizza i token per garantire che la richiesta del cliente sia legittima. I token vengono generati quando il modulo viene inviato al client e convalidati quando il modulo viene inviato nuovamente al server.

NOTE

Le istanze di pubblicazione non contengono token per gli utenti anonimi.

Requisiti requirements

Dipendenze dependencies

Qualsiasi componente che si basa sulla dipendenza granite.jquery può beneficiare automaticamente del framework di protezione CSRF. In caso contrario, per qualsiasi componente è necessario dichiarare una dipendenza a granite.csrf.standalone prima di poter utilizzare il framework.

Replica della chiave di crittografia replicating-crypto-keys

Per utilizzare i token, devi replicare il file binario HMAC in tutte le istanze della distribuzione. Per ulteriori dettagli, vedere Replica della chiave HMAC.

NOTE

Assicurati anche di apportare le modifiche di configurazione Dispatcher necessarie per utilizzare il framework di protezione CSRF:

NOTE

Se utilizzi la cache del manifesto con l'applicazione Web, assicurati di aggiungere "*" al manifesto per assicurarti che il token non metta offline la chiamata di generazione del token CSRF. Per ulteriori informazioni, consulta questo collegamento.

Per ulteriori informazioni sugli attacchi CSRF e sui modi per mitigarli, vedere la pagina OWASP Cross-Site Request Forgery.

recommendation-more-help

19ffd973-7af2-44d0-84b5-d547b0dffee2