Ondersteuning voor inlinescripts in AEM Sites in het kader van het inhoudsbeveiligingsbeleid
Een strikt inhoudsbeveiligingsbeleid (CSP) beperkt beveiligingsrisico's, zoals XSS (cross-site scripting). In Adobe Experience Manager (AEM) Sites schakelt u inlinescripts in met script-src 'unsafe-inline' en 'unsafe-eval' , maar introduceert u kwetsbaarheden. In deze handleiding wordt uitgelegd of AEM Sites CSP-instanties ondersteunt of veilige alternatieven voor het laden van inlinescripts zonder onveilige instructies.
Om dit te bevestigen, zult u gealigneerde manuscripten moeten refactoreren en douaneafhandeling meteen uitvoeren.
Beschrijving description
Omgeving
Product: AEM as a Cloud Service - Sites
Probleem/symptomen
- Inline scripts worden niet geladen wanneer CSP
'unsafe-inline'en'unsafe-eval'uitsluit. - Het verwijderen van deze markeringen wordt gemarkeerd als een beveiligingsrisico, maar verstoort de functionaliteit.
- Een veilige methode zoals CSP nonces is nodig om gealigneerde manuscriptuitvoering toe te staan zonder veiligheid te compromitteren.
Resolutie resolution
Zeer belangrijke overwegingen:
- AEM Sites biedt geen out-of-the-box ondersteuning voor CSP-instanties.
- AEM decoreert zijn inlinescripts niet automatisch met nonces.
-
Om strenger beleid CSP zonder onveilige richtlijnen (d.w.z., exclusief
unsafe-inlinete dwingen/unsafe-eval:- Inline scripts converteren naar externe JavaScript-bestanden. Verwijs naar Vormend een CSP in de documentatie van Experience Platform voor meer details.
- Bouw een douaneoplossing om nonces te produceren en te injecteren indien nodig.
-
Test alle wijzigingen om ervoor te zorgen dat de paginafunctionaliteit niet wordt onderbroken.
Nota's :
- Het ontbreken van een CDV vormt geen inherente kwetsbaarheid in AEM; het dient als extra verdedigingslaag. Zie overzicht van het veiligheidsbeleid van de Inhoud in de documentatie van Commerce.
- Aangepaste implementatie is nodig voor een striktere CSP-handhaving dan wat momenteel buiten de box wordt ondersteund.