DokumentationAEM 6.4Användarhandbok om utveckling

Dokumentskydd security

Last update: Thu May 04 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Skapat för:

  • Developer
CAUTION
AEM 6.4 har nått slutet på den utökade supporten och denna dokumentation är inte längre uppdaterad. Mer information finns i teknisk supportperiod. Hitta de versioner som stöds här.

Programsäkerhet startar under utvecklingsfasen. Adobe rekommenderar att du tillämpar följande bästa säkerhetspraxis.

Använd begärandesession use-request-session

I enlighet med principen om lägsta behörighet rekommenderar Adobe att all databasåtkomst görs genom att använda den session som är bunden till användarens begäran och rätt åtkomstkontroll.

Protect mot XSS (Cross-Site Scripting) protect-against-cross-site-scripting-xss

Med XSS (Cross-site scripting) kan angripare lägga in kod på webbsidor som visas av andra användare. Säkerhetsluckan kan utnyttjas av skadliga webbanvändare för att kringgå åtkomstkontroller.

AEM tillämpar principen om att filtrera allt innehåll som användaren tillhandahåller vid utskrift. Förhindrande av XSS har högsta prioritet under både utveckling och testning.

Den XSS-skyddsmekanism som tillhandahålls av AEM bygger på AntiSamy Java Library tillhandahålls av OWASP (Open Web Application Security Project). Standardkonfigurationen för AntiSamy finns på

/libs/cq/xssprotection/config.xml

Det är viktigt att du anpassar den här konfigurationen efter dina egna säkerhetsbehov genom att täcka över konfigurationsfilen. Tjänstemannen AntiSamy-dokumentation ger dig all information du behöver för att kunna uppfylla säkerhetskraven.

NOTE
Vi rekommenderar att du alltid har tillgång till XSS-skydds-API:t med XSSAPI tillhandahålls av AEM.

Dessutom en brandvägg för webbprogram, som mod_security för Apache, kan ge tillförlitlig, central kontroll över distributionsmiljöns säkerhet och skydda mot tidigare oidentifierade serveröverskridande skriptattacker (cross-site scripting).

Tillgång till Cloud Service access-to-cloud-service-information

NOTE
Åtkomstkontrollistorna för Cloud Service Information och de OSGi-inställningar som krävs för att skydda instansen automatiseras som en del av Produktionsklar läge. Detta innebär att du inte behöver göra konfigurationsändringarna manuellt, men vi rekommenderar ändå att du granskar dem innan du publicerar distributionen.

När du integrera AEM med Adobe Marketing Cloud du använder Konfigurationer av Cloud Service. Information om dessa konfigurationer, tillsammans med all statistik som samlas in, lagras i databasen. Vi rekommenderar att du, om du använder den här funktionen, granskar om standardsäkerheten för den här informationen matchar dina krav.

Webbtjänsternas supportmodul skriver statistik och konfigurationsinformation under:

/etc/cloudservices

Med standardbehörigheter:

  • Författarmiljö: read for contributors

  • Publiceringsmiljö: read for everyone

Protect mot attacker från smidda förfrågningar på olika webbplatser protect-against-cross-site-request-forgery-attacks

Mer information om AEM säkerhetsmekanismer som används för att mildra CSRF-attacker finns i Sling-referensfilter i checklistan och Dokumentation för CSRF Protection Framework.

recommendation-more-help
2315f3f5-cb4a-4530-9999-30c8319c520e