セキュリティ security

アプリケーションのセキュリティは、開発フェーズで開始します。 Adobeでは、次のセキュリティのベストプラクティスを適用することをお勧めします。

リクエストセッションを使用 use-request-session

最小権限の原則に従って、アドビでは、リポジトリへのすべてのアクセスを、ユーザー要求と適切なアクセス制御にバインドされたセッションを使用して行うことをお勧めします。

クロスサイトスクリプティング (XSS) に対するProtect protect-against-cross-site-scripting-xss

クロスサイトスクリプティング (XSS) を使用すると、攻撃者は他のユーザーが閲覧した Web ページにコードを挿入できます。 このセキュリティ脆弱性は、悪意のある Web ユーザーによって悪用され、アクセス制御をバイパスする可能性があります。

AEMは、ユーザーが指定したすべてのコンテンツを出力時にフィルタリングする原則を適用します。 開発とテストの両方で、XSS の防止が最も優先されます。

AEM が提供する XSS 保護メカニズムは、OWASP（The Open Web Application Security Project）が提供する AntiSamy Java ライブラリに基づいています。デフォルトの AntiSamy 構成は、次の場所にあります。

/libs/cq/xssprotection/config.xml

設定ファイルをオーバーレイすることで、この設定を独自のセキュリティ要件に適合させることが重要です。公式の AntiSamy ドキュメントでは、セキュリティ要件を実装するために必要なすべての情報が提供されています。

また、Apache 対応の mod_security などの web アプリケーションファイアウォールを使用すると、デプロイメント環境のセキュリティを高い信頼性で一元的に制御でき、以前は検出されなかったクロスサイトスクリプティング攻撃に対する保護も可能になります。

Cloud Service情報へのアクセス access-to-cloud-service-information

次の場合： AEMインスタンスとAdobe Marketing Cloudの統合 次を使用 Cloud Service設定. これらの設定に関する情報は、収集された統計と共にリポジトリに保存されます。 この機能を使用する場合は、この情報に対するデフォルトのセキュリティが要件に一致するかどうかを確認することをお勧めします。

webservicesupport モジュールは、次の場所に統計情報と設定情報を書き込みます。

/etc/cloudservices

デフォルトの権限は、次のとおりです。

クロスサイトリクエストフォージェリ攻撃からの保護 protect-against-cross-site-request-forgery-attacks

CSRF 攻撃を軽減するために AEM で採用されているセキュリティメカニズムについて詳しくは、セキュリティチェックリストの Sling リファラーフィルターの節と、CSRF 対策フレームワークのドキュメントを参照してください。