Adobe Experience Manager Dispatcher configureren om CSRF-aanvallen te voorkomen configuring-dispatcher-to-prevent-csrf-attacks
AEM (Adobe Experience Manager) biedt een raamwerk dat bedoeld is om aanvallen met vervalsingen door verschillende sites te voorkomen. Als u dit framework op de juiste manier wilt gebruiken, brengt u de volgende wijzigingen aan in uw Dispatcher-configuratie:
-
Voeg in de sectie
/clientheadersvan deauthor-farm.anyenpublish-farm.anyde volgende vermelding toe onder aan de lijst:CSRF-Token -
Voeg in de sectie /filters van het
author-farm.any- enpublish-farm.any- ofpublish-filters.any-bestand de volgende regel toe om aanvragen voor/libs/granite/csrf/token.jsonvia de Dispatcher toe te staan./0999 { /type "allow" /glob " * /libs/granite/csrf/token.json*" } -
Voeg onder de sectie
/cache /rulesvan uwpublish-farm.anyeen regel toe om te voorkomen dat de Dispatcher hettoken.json-bestand in de cache plaatst. Auteurs omzeilen caching doorgaans, dus u hoeft de regel niet aan uwauthor-farm.anytoe te voegen./0999 { /glob "/libs/granite/csrf/token.json" /type "deny" }
Om te bevestigen dat de configuratie werkt, bekijk de dispatcher.log in DEBUG wijze. U kunt hiermee controleren of het token.json -bestand wordt opgeslagen in de cache of geblokkeerd door filters. U zou berichten moeten zien gelijkend op:... checking [/libs/granite/csrf/token.json]... request URL not in cache rules: /libs/granite/csrf/token.json... cache-action for [/libs/granite/csrf/token.json]: NONE
U kunt ook controleren of aanvragen succesvol zijn in uw Apache access_log . Verzoeken om "/libs/granite/csrf/token.json zouden een HTTP 200 statuscode moeten terugkeren.