CSRF Protection Framework the-csrf-protection-framework

Förutom referensfiltret för Apache Sling tillhandahåller Adobe även ett nytt CSRF-skyddsramverk som skyddar mot den här typen av attacker.

Ramverket använder tokens för att garantera att kundens begäran är berättigad. Token genereras när formuläret skickas till klienten och valideras när formuläret skickas tillbaka till servern.

NOTE
Det finns inga token för publiceringsinstanserna för anonyma användare.

Krav requirements

Beroenden dependencies

Alla komponenter som är beroende av granite.jquery-beroendet kan automatiskt dra nytta av CSRF Protection Framework. Om inte, för någon av dina komponenter, måste du deklarera ett beroende för granite.csrf.standalone innan du kan använda ramverket.

Replikerar krypteringsnyckeln replicating-crypto-keys

Om du vill använda token måste du replikera HMAC-binärfilen till alla instanser i distributionen. Mer information finns i Replikera HMAC-nyckeln.

NOTE
Se också till att du gör de konfigurationsändringar för Dispatcher som krävs för att använda CSRF Protection Framework.
NOTE
Om du använder manifestcachen med ditt webbprogram måste du lägga till * i manifestet för att se till att token inte tar CSRF-tokengenereringsanropet offline. Mer information finns i den här länken.
Mer information om CSRF-attacker och sätt att mildra dem finns på sidan Cross-Site Request Falery OWASP.
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2