CSRF Protection Framework

Senast uppdaterad: 4 maj 2023

Skapat för:

  • Developer
CAUTION
AEM 6.4 har nått slutet på den utökade supporten och denna dokumentation är inte längre uppdaterad. Mer information finns i teknisk supportperiod. Hitta de versioner som stöds här.

Förutom referensfiltret för Apache Sling tillhandahåller Adobe även ett nytt CSRF-skyddsramverk som skyddar mot den här typen av attacker.

Ramverket använder tokens för att garantera att kundens begäran är berättigad. Token genereras när formuläret skickas till klienten och valideras när formuläret skickas tillbaka till servern.

NOTE
Det finns inga token för publiceringsinstanserna för anonyma användare.

Krav

Beroenden

Alla komponenter som är beroende av granite.jquery CSRF Protection Framework kommer automatiskt att dra nytta av beroendet. Om detta inte är fallet för någon av dina komponenter måste du deklarera ett beroende för granite.csrf.standalone innan du kan använda ramverket.

Replikerar krypteringsnyckeln

Om du vill använda dessa variabler måste du replikera /etc/keys/hmac binär till alla instanser i distributionen. Ett praktiskt sätt att kopiera HMAC-nyckeln till alla instanser är att skapa ett paket som innehåller nyckeln och installera den via Package Manager på alla instanser.

NOTE
Se också till att du gör nödvändiga Konfigurationsändringar för Dispatcher för att kunna använda ramverket för skydd av CSRF.
NOTE
Om du använder manifest-cachen tillsammans med webbprogrammet måste du lägga till "*" till manifestet för att säkerställa att token inte tar genereringsanropet för CSRF-token offline. Mer information finns i link.
Mer information om CSRF-attacker och sätt att mildra dem finns i OWASP-sida för korsdomänbegäran.
Föregående sida
Nästa sida

Experience Manager