文档AEM 6.5用户指南

CSRF保护框架

2025年5月5日
  • 适用对象:
  • Experience Manager 6.5
  • 主题:
  • 开发中

创建对象:

  • 开发人员

除了Apache Sling反向链接过滤器之外,Adobe还提供了一个新的CSRF保护框架来抵御此类攻击。

该框架使用令牌来保证客户端请求的合法性。 令牌在表单发送到客户端时生成,并在表单发送回服务器时进行验证。

NOTE
匿名用户的发布实例上没有任何令牌。

要求

依赖项

任何依赖于granite.jquery依赖关系的组件都可以自动从CSRF保护框架中受益。 如果不是,则对于您的任何组件,您必须先向granite.csrf.standalone声明依赖关系,然后才能使用框架。

复制加密密钥

要使用令牌,您需要将HMAC二进制文件复制到部署中的所有实例。 有关详细信息,请参阅复制HMAC密钥。

NOTE
此外,请确保进行了必要的Dispatcher配置更改以使用CSRF保护框架:
  • 配置Adobe Experience Manager Dispatcher以防御CSRF攻击
  • Dispatcher概述
NOTE
如果您在Web应用程序中使用清单缓存,请确保将“*”添加到清单中,以确保令牌不会使CSRF令牌生成调用脱机。 有关详细信息,请参阅此链接。
有关CSRF攻击以及缓解这些攻击方法的详细信息,请参阅跨站点请求伪造OWASP页面。
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2