DocumentaçãoAEM 6.4Guia de desenvolvimento

Segurança security

Last update: Thu May 04 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Criado para:

  • Desenvolvedor
CAUTION
AEM 6.4 chegou ao fim do suporte estendido e esta documentação não é mais atualizada. Para obter mais detalhes, consulte nossa períodos de assistência técnica. Encontre as versões compatíveis here.

A segurança do aplicativo é iniciada durante a fase de desenvolvimento. O Adobe recomenda aplicar as seguintes práticas recomendadas de segurança.

Usar sessão de solicitação use-request-session

Seguindo o princípio de menos privilégio, o Adobe recomenda que cada acesso ao repositório seja feito usando a sessão vinculada à solicitação do usuário e o controle de acesso apropriado.

Protect contra script entre sites (XSS) protect-against-cross-site-scripting-xss

O cross-site scripting (XSS) permite que invasores injetem código em páginas da Web visualizadas por outros usuários. Essa vulnerabilidade de segurança pode ser explorada por usuários maliciosos da Web para ignorar controles de acesso.

AEM aplica o princípio de filtrar todo o conteúdo fornecido pelo usuário na saída. A prevenção do XSS recebe a prioridade mais alta durante o desenvolvimento e o teste.

O mecanismo de proteção XSS fornecido pela AEM baseia-se no Biblioteca Java AntiSamy , OWASP (Projeto de Segurança de Aplicativo Web Aberto). A configuração padrão do AntiSamy pode ser encontrada em

/libs/cq/xssprotection/config.xml

É importante adaptar essa configuração às suas próprias necessidades de segurança ao sobrepor o arquivo de configuração. O funcionário Documentação do AntiSamy O fornecerá todas as informações necessárias para implementar seus requisitos de segurança.

NOTE
Recomendamos que você sempre acesse a API de proteção do XSS usando o XSSAPI fornecida pelo AEM.

Além disso, um firewall de aplicativo Web, como mod_security para ApacheO pode fornecer controle central e confiável sobre a segurança do ambiente de implantação e proteção contra ataques de script entre sites não detectados anteriormente.

Acesso às informações do Cloud Service access-to-cloud-service-information

NOTE
As ACLs para as Informações do Cloud Service, bem como as configurações OSGi necessárias para proteger sua instância são automatizadas como parte do Modo Pronto para produção. Embora isso signifique que não é necessário fazer as alterações de configuração manualmente, ainda é recomendável revisá-las antes de entrar em vigor com a implantação.

Quando você integre sua instância do AEM à Adobe Marketing Cloud você usa Configurações do Cloud Service. As informações sobre essas configurações, juntamente com qualquer estatística coletada, são armazenadas no repositório. Recomendamos que, se estiver usando essa funcionalidade, você verifique se a segurança padrão nessas informações corresponde aos seus requisitos.

O módulo webservicesupport grava estatísticas e informações de configuração em:

/etc/cloudservices

Com as permissões padrão:

  • Ambiente do autor: read para contributors

  • Ambiente de publicação: read para everyone

Protect contra ataques de falsificação de solicitação entre sites protect-against-cross-site-request-forgery-attacks

Para obter mais informações sobre os mecanismos de segurança AEM empregados para mitigar ataques de CSRF, consulte o Filtro de referenciador do Sling seção da lista de verificação de segurança e do Documentação da Estrutura de proteção do CSRF.

recommendation-more-help
2315f3f5-cb4a-4530-9999-30c8319c520e