安全性 security

应用程序安全在开发阶段启动。 Adobe建议应用以下安全最佳实践。

使用请求会话 use-request-session

按照最小权限原则,Adobe建议使用绑定到用户请求的会话和适当的访问控制来完成每次存储库访问。

Protect抵御跨站点脚本(XSS) protect-against-cross-site-scripting-xss

跨站点脚本(XSS)允许攻击者将代码注入其他用户查看的网页。 恶意Web用户可以利用此安全漏洞绕过访问控制。

AEM应用了在输出时筛选所有用户提供的内容的原则。 在开发和测试过程中,防御XSS都被列为最高优先事项。

AEM提供的XSS保护机制基于OWASP (Open Web Application Security Project)提供的AntiSamy Java™库。 默认的AntiSamy配置位于

/libs/cq/xssprotection/config.xml

通过覆盖配置文件来调整此配置,使其符合您自己的安全需求非常重要。 官方AntiSamy文档为您提供了实施安全要求所需的所有信息。

NOTE
Adobe建议您始终使用AEM🔗提供的XSSAPI访问XSS保护API。

此外,Web应用程序防火墙(如Apache的mod_security)可以对部署环境的安全提供可靠的集中控制,并保护用户免受以前未检测到的跨站点脚本攻击。

访问Cloud Service信息 access-to-cloud-service-information

NOTE
作为生产就绪模式的一部分,Cloud Service信息的ACL以及保护实例所需的OSGi设置会自动完成。 虽然这意味着您无需手动更改配置,但仍建议您在开始部署之前查看配置。

当您将AEM实例与Adobe Experience Cloud集成时,您使用Cloud Service配置。 有关这些配置的信息以及收集的任何统计信息都存储在资料档案库中。 Adobe建议,如果使用此功能,应检查此信息的默认安全性是否符合您的要求。

webservicesupport模块将统计信息和配置信息写入以下位置:

/etc/cloudservices

具有默认权限:

  • 创作环境:contributorsread

  • Publish环境:everyoneread

Protect抵御跨站点请求伪造攻击 protect-against-cross-site-request-forgery-attacks

有关AEM用于缓解CSRF攻击的安全机制的更多信息,请参阅安全核对清单的Sling引用过滤器部分和CSRF保护框架文档

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2