DocumentatieAEM 6.5 LTSHandboek

Beveiliging security

Last update: Mon May 05 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Van toepassing op:
  • Experience Manager 6.5 LTS
  • Onderwerpen:

Gemaakt voor:

  • Ontwikkelaar

De Veiligheid van de toepassing begint tijdens de ontwikkelingsfase. Adobe raadt u aan de volgende best practices op het gebied van beveiliging toe te passen.

Aanvraagsessie gebruiken use-request-session

Volgens het beginsel van minst voorrecht raadt Adobe aan dat elke toegang tot de opslagplaats wordt uitgevoerd door gebruik te maken van de sessie die gebonden is aan het verzoek van de gebruiker en een juiste toegangscontrole.

Beveiligen tegen XSS (Cross-Site Scripting) protect-against-cross-site-scripting-xss

Met XSS (Cross-site scripting) kunnen aanvallers code injecteren in webpagina's die door andere gebruikers worden weergegeven. Deze kwetsbaarheid op het gebied van beveiliging kan door kwaadaardige webgebruikers worden misbruikt om toegangsbesturingselementen te omzeilen.

AEM past het beginsel toe om alle door de gebruiker opgegeven inhoud bij uitvoer te filteren. Het voorkomen van XSS krijgt de hoogste prioriteit tijdens zowel ontwikkeling als testen.

Het XSS beschermingsmechanisme dat door AEM wordt verstrekt is gebaseerd op de Bibliotheek Java™ van AntiSamydoor OWASP (het Open Project van de Veiligheid van de Toepassing van het Web) wordt verstrekt. De standaardconfiguratie van AntiSamy vindt u op

/libs/cq/xssprotection/config.xml

Het is belangrijk dat u deze configuratie aanpast aan uw eigen veiligheidsbehoeften door het configuratiedossier te bedekken. De officiële documentatie AntiSamyvoorziet u van alle informatie u uw veiligheidsvereisten moet uitvoeren.

NOTE
Adobe adviseert dat u altijd tot de XSS bescherming API toegang hebt door XSSAPI te gebruiken die door AEMwordt verstrekt.

Ook, kan een firewall van de Webtoepassing, zoals mod_security voor Apache, betrouwbare, centrale controle over de veiligheid van het plaatsingsmilieu verstrekken en tegen eerder onontdekte dwars-plaats scripting aanvallen beschermen.

Toegang tot Cloud Service-informatie access-to-cloud-service-information

NOTE
ACLs voor de Informatie van Cloud Service en de montages OSGi die worden vereist om uw instantie te beveiligen worden geautomatiseerd als deel van de Klaar Wijze van de Productie. Terwijl dit betekent dat u niet de configuratie moet manueel veranderen, wordt het nog geadviseerd dat u hen controleert alvorens u met uw plaatsing gaat leven.

Wanneer u uw instantie van AEM met Adobe Experience Cloudintegreert, gebruikt u configuraties van Cloud Service. Informatie over deze configuraties, samen met alle verzamelde statistieken, wordt opgeslagen in de gegevensopslagruimte. Adobe raadt aan dat als u deze functionaliteit gebruikt, u controleert of de standaardbeveiliging van deze gegevens aan uw vereisten voldoet.

De module webservicesSupport schrijft statistieken en configuratiegegevens onder:

/etc/cloudservices

Met de standaardmachtigingen:

  • Auteursomgeving: read voor contributors

  • Publicatie-omgeving: read for everyone

Beveiligen tegen aanvallen van smeden voor meerdere sites protect-against-cross-site-request-forgery-attacks

Voor meer informatie over de veiligheidsmechanismen gebruikt AEM om aanvallen te verlichten CSRF, zie de 🔗 sectie van de Filter van de Verwijzer van 0} Verschuiving van de Controle van de Veiligheid en de documentatie van het Kader van de Bescherming CSRF.

recommendation-more-help
51c6a92d-a39d-46d7-8e3e-2db9a31c06a2