CSRF 보호 프레임워크 the-csrf-protection-framework

Last update: Mon Jul 22 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

작성 대상:

Apache Sling Referrer Filter 외에도 Adobe은 이러한 유형의 공격으로부터 보호하기 위한 새로운 CSRF 보호 프레임워크를 제공합니다.

프레임워크는 토큰을 사용하여 클라이언트 요청이 합법적임을 보장합니다. 토큰은 양식을 클라이언트로 보낼 때 생성되며 양식을 다시 서버로 보낼 때 확인됩니다.

NOTE

익명 사용자에 대한 게시 인스턴스에 토큰이 없습니다.

요구 사항 requirements

granite.jquery 종속성에 의존하는 모든 구성 요소는 자동으로 CSRF 보호 프레임워크의 혜택을 받을 수 있습니다. 그렇지 않으면 구성 요소에 대해 granite.csrf.standalone에 대한 종속성을 선언해야 프레임워크를 사용할 수 있습니다.

토큰을 사용하려면 HMAC 바이너리를 배포의 모든 인스턴스에 복제해야 합니다. 자세한 내용은 HMAC 키 복제를 참조하십시오.

NOTE

또한 CSRF 보호 프레임워크를 사용하기 위해 필요한 Dispatcher 구성을 변경해야 합니다.

NOTE

웹 응용 프로그램에서 매니페스트 캐시를 사용하는 경우 토큰이 CSRF 토큰 생성 호출을 오프라인으로 전환하지 않도록 매니페스트에 "*"을(를) 추가해야 합니다. 자세한 내용은 이 링크를 참조하세요.

CSRF 공격 및 이를 완화하는 방법에 대한 자세한 내용은 크로스 사이트 요청 위조 OWASP 페이지를 참조하십시오.

recommendation-more-help

19ffd973-7af2-44d0-84b5-d547b0dffee2