Cabeçalhos de segurança ausentes e HTTPS não impostos em domínios personalizados do Dynamic Media no Adobe Experience Manager
As avaliações de segurança sinalizam os domínios personalizados do AEM Dynamic Media para cabeçalhos de segurança ausentes e para permitir o acesso HTTP. Este artigo descreve como esses cabeçalhos são implementados e como o tráfego HTTP é redirecionado para HTTPS para proteger endpoints do Dynamic Media.
Descrição description
Ambiente
- Produto: Adobe Experience Manager Dynamic Media/Scene7
- Instância: Produção
Problema/Sintomas
Os seguintes problemas ocorrem em domínios personalizados do Dynamic Media:
- O cabeçalho
Content-Security-Policyestá ausente das respostas HTTP. - O cabeçalho
X-Content-Type-Optionsestá ausente. - O cabeçalho
HTTP Strict Transport Security (HSTS)não está habilitado ou configurado. - As solicitações HTTP não são redirecionadas para HTTPS, permitindo acesso não seguro.
Resolução resolution
Para corrigir esse problema, siga estas etapas:
-
Revise os cabeçalhos de resposta atuais para seus domínios personalizados do Dynamic Media enviando uma solicitação para um URL de imagem por HTTP e HTTPS.
-
Confirme se os seguintes cabeçalhos estão presentes na resposta:
Content-Security-PolicyX-Content-Type-OptionsStrict-Transport-Security (HSTS)
-
Certifique-se de que qualquer solicitação HTTP receba um redirecionamento 301 para o URL HTTPS equivalente.
-
Se houver cabeçalhos ausentes ou solicitações HTTP não forem redirecionadas, entre em contato com o Suporte da Adobe com o nome da conta do Dynamic Media e os detalhes de domínio afetados.
-
Depois que o Adobe Engineering atualizar a configuração, repita a etapa 1 para verificar se todos os cabeçalhos de segurança necessários estão presentes e se todo o tráfego é aplicado por HTTPS.
Notas: a implementação destes controles de segurança requer coordenação com as equipes de Suporte e Engenharia da Adobe. As configurações de domínio personalizadas variam dependendo da configuração da conta.