Het CSRF-beschermingskader the-csrf-protection-framework

Naast het filter Apache Sling Referrer biedt Adobe ook een nieuw CSRF-beschermingskader dat bescherming biedt tegen dit type aanvallen.

Het framework maakt gebruik van tokens om te garanderen dat het verzoek van de klant legitiem is. De tokens worden gegenereerd wanneer het formulier naar de client wordt verzonden en gevalideerd wanneer het formulier naar de server wordt teruggestuurd.

NOTE
De publicatie-instanties bevatten geen tokens voor anonieme gebruikers.

Vereisten requirements

Afhankelijkheden dependencies

Elke component die afhankelijk is van de component granite.jquery afhankelijkheid kan automatisch profiteren van het CSRF-beschermingskader. Als niet, voor om het even welk van uw componenten, moet u een gebiedsdeel verklaren aan granite.csrf.standalone voordat u het framework kunt gebruiken.

De crypto-sleutel repliceren replicating-crypto-keys

Om de tokens te gebruiken, moet u het binaire getal HMAC aan alle instanties in uw plaatsing herhalen. Zie Replicatie van de HMAC-sleutel voor meer informatie .

NOTE
Zorg ervoor dat u ook de vereiste Wijzigingen in de configuratie van Dispatcher het CSRF-beschermingskader te gebruiken.
NOTE
Als u het manifestgeheime voorgeheugen met uw Webtoepassing gebruikt, zorg ervoor u "&asteren;" aan manifest om ervoor te zorgen neemt het teken niet de CSRF symbolische generatievraag offline. Raadpleeg deze voor meer informatie link.
Voor meer informatie over aanvallen CSRF en manieren om hen te verlichten, zie OWASP-pagina voor XSS-aanvragen voor andere sites.
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2