DokumentationAEMAnvändarhandbok om Dispatcher

Dispatcher Security Checklist the-dispatcher-security-checklist

Last update: Thu Jul 24 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Skapat för:

  • Administratör

Adobe rekommenderar att du slutför följande checklista innan du börjar producera.

CAUTION
Fyll i checklistan för din version av AEM innan du publicerar. Se motsvarande Adobe Experience Manager-dokumentation.

Använd den senaste versionen av Dispatcher use-the-latest-version-of-dispatcher

Installera den senaste tillgängliga versionen som är tillgänglig för din plattform. Uppgradera din Dispatcher-instans och använd den senaste versionen för att dra nytta av produkt- och säkerhetsförbättringarna. Se Installera Dispatcher.

NOTE
Du kan kontrollera den aktuella versionen av din Dispatcher-installation genom att titta i Dispatcher loggfil.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Om du vill hitta loggfilen kontrollerar du Dispatcher-konfigurationen i httpd.conf.

Begränsa klienter som kan tömma cachen restrict-clients-that-can-flush-your-cache

Adobe rekommenderar att du begränsar antalet klienter som kan tömma cachen.

Aktivera HTTPS för transportlagrets säkerhet enable-https-for-transport-layer-security

Adobe rekommenderar att HTTPS-transportlagret aktiveras både för författare och publicering.

Begränsa åtkomst restrict-access

Begränsa den externa åtkomsten så mycket som möjligt när du konfigurerar Dispatcher. Se Exempel/filteravsnitt i Dispatcher-dokumentationen.

Kontrollera att åtkomst till administrativa URL:er nekas make-sure-access-to-administrative-urls-is-denied

Se till att du använder filter för att blockera extern åtkomst till administrativa URL:er, t.ex. webbkonsolen.

En lista med URL:er som måste blockeras finns i Testar Dispatcher Security.

Använd Tillåtelselista i stället för Blockeringslista use-allowlists-instead-of-blocklists

Tillåtelselista är ett bättre sätt att tillhandahålla åtkomstkontroll eftersom de till sin natur antar att alla åtkomstbegäranden ska nekas såvida de inte uttryckligen ingår i tillåtelselista. Den här modellen ger mer restriktiv kontroll över nya begäranden som kanske inte har granskats än eller övervägts under en viss konfigurationsfas.

Kör Dispatcher med en dedikerad systemanvändare run-dispatcher-with-a-dedicated-system-user

Konfigurera Dispatcher så att ett dedikerat, minst privilegierat användarkonto kör webbservern. Adobe rekommenderar att du bara ger skrivåtkomst till Dispatcher cachemapp.

IIS-användare måste dessutom konfigurera sin webbplats på följande sätt:

  1. Välj Anslut som en specifik användare i inställningen för fysisk sökväg för din webbplats.
  2. Ange användaren.

Förhindra DoS-attacker (denial of service) prevent-denial-of-service-dos-attacks

En denial of service-attack (DoS) är ett försök att göra en datorresurs otillgänglig för de avsedda användarna.

På Dispatcher-nivå finns det två metoder för att konfigurera för att förhindra DoS-attacker: Filter

  • Använd modulen mod_rewrite (till exempel Apache 2.4) för att utföra URL-valideringar (om URL-mönsterreglerna inte är för komplexa).

  • Hindra Dispatcher från att cachelagra URL:er med falska tillägg genom att använda filters.
    Ändra till exempel cachningsreglerna för att begränsa cachning till de förväntade MIME-typerna, som:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    En exempelkonfigurationsfil kan visas för att begränsa extern åtkomst. Den innehåller begränsningar för MIME-typer.

Om du vill aktivera alla funktioner för publiceringsinstanserna konfigurerar du filter så att de inte får åtkomst till följande noder:

  • /etc/
  • /libs/

Konfigurera sedan filter för att ge åtkomst till följande nodsökvägar:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS och JSON)

  • /libs/cq/security/userinfo.json (CQ-användarinformation)

  • /libs/granite/security/currentuser.json (data får inte cachelagras)

  • /libs/cq/i18n/* (Internalisering)

Konfigurera Dispatcher för att förhindra CSRF-attacker configure-dispatcher-to-prevent-csrf-attacks

AEM tillhandahåller ett ramverk som syftar till att förhindra attacker av typen Cross-Site Request. Om du vill använda ramverket på rätt sätt tillåtslista du stödet för CSRF-token i Dispatcher genom att göra följande:

  1. Skapa ett filter som tillåter sökvägen /libs/granite/csrf/token.json;
  2. Lägg till rubriken CSRF-Token i avsnittet clientheaders i Dispatcher-konfigurationen.

Förhindra clickjacking prevent-clickjacking

För att förhindra clickjacking rekommenderar Adobe att du konfigurerar webbservern så att HTTP-huvudet X-FRAME-OPTIONS anges till SAMEORIGIN.

Mer information om clickjacking finns på OWASP-webbplatsen.

Utför ett penetrationsprov perform-a-penetration-test

Adobe rekommenderar att du gör ett penetrationstest av din AEM-infrastruktur innan du börjar producera.

recommendation-more-help
ce382601-480f-4a99-8be7-73178d4b6ef5