DokumentationAEM 6.4Användarhandbok om utveckling

CSRF Protection Framework the-csrf-protection-framework

Last update: Thu May 04 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Skapat för:

  • Developer
CAUTION
AEM 6.4 har nått slutet på den utökade supporten och denna dokumentation är inte längre uppdaterad. Mer information finns i teknisk supportperiod. Hitta de versioner som stöds här.

Förutom referensfiltret för Apache Sling tillhandahåller Adobe även ett nytt CSRF-skyddsramverk som skyddar mot den här typen av attacker.

Ramverket använder tokens för att garantera att kundens begäran är berättigad. Token genereras när formuläret skickas till klienten och valideras när formuläret skickas tillbaka till servern.

NOTE
Det finns inga token för publiceringsinstanserna för anonyma användare.

Krav requirements

Beroenden dependencies

Alla komponenter som är beroende av granite.jquery CSRF Protection Framework kommer automatiskt att dra nytta av beroendet. Om detta inte är fallet för någon av dina komponenter måste du deklarera ett beroende för granite.csrf.standalone innan du kan använda ramverket.

Replikerar krypteringsnyckeln replicating-crypto-keys

Om du vill använda dessa variabler måste du replikera /etc/keys/hmac binär till alla instanser i distributionen. Ett praktiskt sätt att kopiera HMAC-nyckeln till alla instanser är att skapa ett paket som innehåller nyckeln och installera den via Package Manager på alla instanser.

NOTE
Se också till att du gör nödvändiga Konfigurationsändringar för Dispatcher för att kunna använda ramverket för skydd av CSRF.
NOTE
Om du använder manifest-cachen tillsammans med webbprogrammet måste du lägga till "*" till manifestet för att säkerställa att token inte tar genereringsanropet för CSRF-token offline. Mer information finns i link.
Mer information om CSRF-attacker och sätt att mildra dem finns i OWASP-sida för korsdomänbegäran.
recommendation-more-help
2315f3f5-cb4a-4530-9999-30c8319c520e