403 Verboden voor URL's met gecodeerde slashes
Wanneer URLs gecodeerde schuine strepen (%2F) bevat, kan Adobe Experience Manager as a Cloud Service a 403 Verboden fout terugkeren. Dit komt toe te schrijven aan veiligheid op CDN-niveau die wordt ontworpen om patronen te blokkeren die voor kwaadwillig verkeer of aanvallen kunnen worden benut DDoS. Om dit te verhelpen, moet u de toepassingslogica bijwerken, zodat geldige gebruikersstromen niet afhankelijk zijn van gecodeerde slashes en ervoor zorgen dat URL's voldoen aan de beveiligingsnormen van Adobe.
Beschrijving description
Omgeving
Adobe Experience Manager as a Cloud Service (AEMaaCS)
Probleem/symptomen
De volgende fout wordt weergegeven wanneer u AEM-pagina's of API's opent die gecodeerde schuine strepen bevatten in het URL-pad:
403 ForbiddenReason: DDOSBlockedPatternEncodedSlashes
Waar het voorkomt:
- In de browser wanneer u naar een pagina met gecodeerde schuine strepen navigeert.
- In API-reacties bij het aanroepen van eindpunten met
%2Fin het pad. - In CDN- logboeken of netwerksporen (bijvoorbeeld, Chrome DevTools
>Netwerk tabel).
Resolutie resolution
Oorzaak
Dit gedrag is door ontwerp en een deel van de Fastly CDN van Adobe veiligheid het verharden. Het verlicht kwaadwillige verkeerspatronen, met inbegrip van potentiële vectoren DDoS die gecodeerde wegtraversal misbruiken. Deze bescherming wordt centraal beheerd door Adobe en is niet klant-configureerbaar.
Ga als volgt te werk om het probleem op te lossen:
- Begin door beïnvloede URLs te identificeren. Bekijk hoe de toepassing gecodeerde schuine strepen gebruikt. Gebruik de ontwikkelaarsgereedschappen van de browser of CDN/AEM-diagnostiek om te zoeken naar aanvragen die 403 retourneren, om een reden zoals DDOSBlockedPatternEncodedSlashes. Vermijd waar mogelijk gecodeerde schuine strepen in het pad.
- Vertrouwen op gecodeerde schuine strepen in URL-paden verwijderen. Als uw toepassing semantisch %2F niet vereist, vervang het met/of verplaats ondoorzichtige gegevens in vraagparameters of een andere het coderen methode om schonere en veiligere structuren te handhaven URL.
- Test eerst in lagere omgevingen. Voordat u wijzigingen aanbrengt in de productie, gebruikt u de Dev- of Stage-omgeving om te controleren op 403 reacties als een vroegtijdige waarschuwing. Dit zorgt ervoor dat problemen vroeg worden opgepakt zonder dat dit invloed heeft op het live verkeer.
- Controleer het gedrag van de toepassing na de aanpassingen. Bevestig dat het verwijderen van gecodeerde schuine strepen of het veranderen van de structuur URL wettige functionaliteit, zoals het verpletteren, veiligheidscontroles, of caching niet breekt.
Aanvullende informatie
Deze bescherming wordt geleidelijk ingevoerd, beginnend met lagere milieu's en dan zich uitbreidend tot Productie. Behandel 403 reacties op Dev/Stage als vroegtijdige waarschuwingen.
Gerelateerde lezing
- Vormend Verkeer bij CDN in de Gids van de Gebruiker van AEM as a Cloud Service.
- Regels van de Filter van het Verkeer met inbegrip van de Regels van WAF in de Gids van de Gebruiker van AEM as a Cloud Service.
- het Blokkeren Dos, DDoS en verfijnde aanvallen die de regels van de verkeersfilter gebruiken in de Leerprogramma's van AEM as a Cloud Service.