Het CSRF-beschermingskader the-csrf-protection-framework

Naast het filter Apache Sling Referrer biedt Adobe ook een nieuw CSRF-beschermingskader dat bescherming biedt tegen dit type aanvallen.

Het framework maakt gebruik van tokens om te garanderen dat het verzoek van de klant legitiem is. De tokens worden gegenereerd wanneer het formulier naar de client wordt verzonden en gevalideerd wanneer het formulier naar de server wordt teruggestuurd.

NOTE
De publicatie-instanties bevatten geen tokens voor anonieme gebruikers.

Vereisten requirements

Afhankelijkheden dependencies

Elke component die afhankelijk is van granite.jquery , kan automatisch profiteren van het CSRF-beveiligingsframework. Als dat niet het geval is, moet u voor een van uw componenten een afhankelijkheid naar granite.csrf.standalone declareren voordat u het framework kunt gebruiken.

De crypto-sleutel repliceren replicating-crypto-keys

Om de tokens te gebruiken, moet u het binaire getal HMAC aan alle instanties in uw plaatsing herhalen. Zie het Repliceren van de sleutel HMACvoor meer details.

NOTE
Zorg ervoor u ook de noodzakelijke de configuratieveranderingen van Dispatcher aanbrengt om het Kader van de Bescherming te gebruiken CSRF:
NOTE
Als u het duidelijke geheime voorgeheugen met uw Webtoepassing gebruikt, zorg ervoor u "&ast toevoegt;"aan manifest om ervoor te zorgen het teken niet de symbolische generatievraag CSRF offline neemt. Voor meer informatie, raadpleeg deze verbinding.
Voor meer informatie over aanvallen CSRF en manieren om hen te verlichten, zie de pagina van het Verzoek van de Versmeding van de Versmeding van de Departerie OWASP.
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2