CSRF Protection Framework the-csrf-protection-framework
Förutom referensfiltret för Apache Sling tillhandahåller Adobe även ett nytt CSRF-skyddsramverk som skyddar mot den här typen av attacker.
Ramverket använder tokens för att garantera att kundens begäran är berättigad. Token genereras när formuläret skickas till klienten och valideras när formuläret skickas tillbaka till servern.
NOTE
Det finns inga token för publiceringsinstanserna för anonyma användare.
Krav requirements
Beroenden dependencies
Alla komponenter som är beroende av granite.jquery-beroendet kan automatiskt dra nytta av CSRF Protection Framework. Om inte, för någon av dina komponenter, måste du deklarera ett beroende för granite.csrf.standalone innan du kan använda ramverket.
Replikerar krypteringsnyckeln replicating-crypto-keys
Om du vill använda token måste du replikera HMAC-binärfilen till alla instanser i distributionen. Mer information finns i Replikera HMAC-nyckeln.
NOTE
Se även till att du gör de nödvändiga konfigurationsändringarna för Dispatcher för att använda CSRF Protection Framework:
NOTE
Om du använder manifestcachen med ditt webbprogram måste du lägga till * i manifestet för att se till att token inte tar CSRF-tokengenereringsanropet offline. Mer information finns i den här länken.
Mer information om CSRF-attacker och sätt att mildra dem finns på sidan Cross-Site Request Falery OWASP.
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2