A estrutura de proteção CSRF the-csrf-protection-framework

Last update: Mon Jul 22 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Tópicos:
Desenvolvimento

Criado para:

Desenvolvedor

Além do Filtro referenciador Apache Sling, o Adobe também fornece uma nova Estrutura de proteção CSRF para proteger contra esse tipo de ataque.

A estrutura usa tokens para garantir que a solicitação do cliente seja legítima. Os tokens são gerados quando o formulário é enviado ao cliente e validado quando o formulário é enviado de volta ao servidor.

NOTE

Não há tokens nas instâncias de publicação para usuários anônimos.

Requisitos requirements

Dependências dependencies

Qualquer componente que depende da dependência granite.jquery pode se beneficiar automaticamente da Estrutura de proteção CSRF. Caso contrário, para qualquer um de seus componentes, você deve declarar uma dependência para granite.csrf.standalone antes de poder usar a estrutura.

Replicação da chave de criptografia replicating-crypto-keys

Para usar os tokens, é necessário replicar o binário HMAC para todas as instâncias em sua implantação. Consulte Replicando a chave HMAC para obter mais detalhes.

NOTE

Faça também as alterações necessárias na configuração do Dispatcher para usar a Estrutura de proteção CSRF:

NOTE

Se você usar o cache manifest com seu aplicativo web, adicione "*" ao manifesto para garantir que o token não coloque a chamada de geração de token CSRF offline. Para obter mais informações, consulte este link.

Para obter mais informações sobre ataques CSRF e maneiras de atenuá-los, consulte a página OWASP de falsificação de solicitação entre sites.

recommendation-more-help

19ffd973-7af2-44d0-84b5-d547b0dffee2