DocumentaçãoAEM 6.5Guia do usuário

A estrutura de proteção CSRF

Última atualização: 22 de julho de 2024
  • Tópicos:
  • Desenvolvimento

Criado para:

  • Desenvolvedor

Além do Filtro referenciador Apache Sling, o Adobe também fornece uma nova Estrutura de proteção CSRF para proteger contra esse tipo de ataque.

A estrutura usa tokens para garantir que a solicitação do cliente seja legítima. Os tokens são gerados quando o formulário é enviado ao cliente e validado quando o formulário é enviado de volta ao servidor.

NOTE
Não há tokens nas instâncias de publicação para usuários anônimos.

Requisitos

Dependências

Qualquer componente que depende da dependência granite.jquery pode se beneficiar automaticamente da Estrutura de proteção CSRF. Caso contrário, para qualquer um de seus componentes, você deve declarar uma dependência para granite.csrf.standalone antes de poder usar a estrutura.

Replicação da chave de criptografia

Para usar os tokens, é necessário replicar o binário HMAC para todas as instâncias em sua implantação. Consulte Replicando a chave HMAC para obter mais detalhes.

NOTE
Faça também as alterações necessárias na configuração do Dispatcher para usar a Estrutura de proteção CSRF:
  • Configurando o Adobe Experience Manager Dispatcher para Evitar Ataques CSRF
  • Visão geral do Dispatcher
NOTE
Se você usar o cache manifest com seu aplicativo web, adicione "*" ao manifesto para garantir que o token não coloque a chamada de geração de token CSRF offline. Para obter mais informações, consulte este link.
Para obter mais informações sobre ataques CSRF e maneiras de atenuá-los, consulte a página OWASP de falsificação de solicitação entre sites.
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2