Suporte ao nonce da Política de segurança de conteúdo para scripts integrados no AEM Sites
Uma Política de segurança de conteúdo (CSP) rigorosa reduz os riscos de segurança, como scripts entre sites (XSS). Nos Sites do Adobe Experience Manager (AEM), o uso do script-src 'unsafe-inline' e do 'unsafe-eval' habilita scripts integrados, mas apresenta vulnerabilidades. Este guia explica se o AEM Sites oferece suporte a nonces CSP ou alternativas seguras para carregar scripts incorporados sem diretivas inseguras.
Para corrigir isso, você precisará refatorar scripts integrados e implementar a manipulação personalizada de nonce.
Descrição description
Ambiente
Produto: AEM as a Cloud Service - Sites
Problema/Sintomas
- Falha ao carregar scripts embutidos quando a CSP exclui
'unsafe-inline'e'unsafe-eval'. - A remoção desses sinalizadores é sinalizada como um risco de segurança, mas interrompe a funcionalidade.
- Um método seguro, como nonces da CSP, é necessário para permitir a execução de script em linha sem comprometer a segurança.
Resolução resolution
Principais considerações:
- A AEM Sites não fornece suporte pronto para uso para nonces de CSP.
- O AEM não decora automaticamente seus scripts incorporados com nonces.
-
Para aplicar diretivas CSP mais rigorosas sem diretivas inseguras (ou seja, excluindo
unsafe-inline/unsafe-eval:- Refatore scripts integrados em arquivos JavaScript externos. Consulte Configurar uma CSP na documentação do Experience Platform para obter mais detalhes.
- Crie uma solução personalizada para gerar e injetar nonces, se necessário.
-
Teste todas as alterações para garantir que a funcionalidade da página não seja interrompida.
Notas:
- A ausência de CSP não constitui uma vulnerabilidade inerente no AEM; ela serve como uma camada adicional de defesa. Consulte Visão geral da política de segurança de conteúdo na documentação do Commerce.
- A implementação personalizada é necessária para uma aplicação mais rigorosa da CSP, além do que é atualmente compatível desde o início.