[PaaS のみ]{class="badge informative" title="Adobe Commerce on Cloud プロジェクト（Adobeが管理する PaaS インフラストラクチャ）およびオンプレミスプロジェクトにのみ適用されます。"}

キャッシュのポイズニングを防止

ここでは、Microsoft Internet Information Server （IIS） Web サーバを使用する場合に、キャッシュ ポイズニングを防止する方法について説明します。 キャッシュポイズニング は、キャッシュコンテンツを変更して、同じサイトの異なるページを含める方法です。 例えば、無害なページ（ストアフロントのホームページなど）の代わりに HTTP 404 （見つかりません）エラーページを挿入し、サービス拒否（DoS）の可能性につながる可能性があります。 悪意のあるページの URL は、Varnish または Redis によってキャッシュされるので、名前は ページキャッシュポイズニング になります。

これらのタイプの攻撃は、web サーバーのログにエラーが記録されないので、検出が困難な場合があります。

このソリューションは、次のCommerce バージョンに適用されます。

説明

この問題は、URL の書き換えが IIS サーバーで有効になっており、リクエストが Varnish または Redis キャッシュサービスに到達する前に、次の HTTP ヘッダーのいずれかが変更された場合に発生します。

これらのヘッダーが変更されると、結果として生成される URL とコンテンツがキャッシュされるので、潜在的な脆弱性が発生します。

解決策

Enable_IIS_Rewrites の IIS サーバー設定に基づいて、上記のすべてのヘッダーの値を削除するオプションを提供します。