Dispatcher 安全核对清单 the-dispatcher-security-checklist

Adobe 建议您在开始生产前完成以下核对清单。

使用最新版本的 Dispatcher use-the-latest-version-of-dispatcher

安装适用于您的平台的最新可用版本。 升级您的Dispatcher实例以使用最新版本以利用产品和安全增强功能。 请参阅安装 Dispatcher。

限制可以刷新缓存的客户端 restrict-clients-that-can-flush-your-cache

Adobe 建议您限制可以刷新缓存的客户端。

为传输层安全性启用HTTPS enable-https-for-transport-layer-security

Adobe建议在创作实例和发布实例上启用HTTPS传输层。

限制访问 restrict-access

在配置 Dispatcher 时应尽可能多地限制外部访问。请参阅 Dispatcher 文档中的示例 /filter 部分。

确保对管理 URL 的访问被拒绝 make-sure-access-to-administrative-urls-is-denied

请务必使用过滤器阻止对任何管理 URL 的外部访问，例如 Web 控制台。

有关必须阻止的 URL 的列表，请参阅测试 Dispatcher 安全性。

使用允许列表而非阻止列表 use-allowlists-instead-of-blocklists

允许列表是提供访问控制的更好方式，因为它们本身会假定所有访问请求都应被拒绝（明确属于允许列表的访问请求除外）。此模型可以对在特定配置阶段可能尚未审查或考虑的新请求进行更严格的控制。

以专用系统用户身份运行 Dispatcher run-dispatcher-with-a-dedicated-system-user

配置Dispatcher时，请确保Web服务器由具有最低权限的专用用户运行。 建议您只授予对Dispatcher缓存文件夹的写入权限。

此外，IIS 用户必须按如下方式配置其网站：

防御拒绝服务 (DoS) 攻击 prevent-denial-of-service-dos-attacks

拒绝服务 (DoS) 攻击是一种试图让计算机资源对其目标用户不可用的攻击。

在Dispatcher级别，可通过两种配置方法来防御DoS攻击： 过滤器

要在发布实例上启用全部功能，请配置过滤器以阻止对以下节点的访问：

然后，配置过滤器以允许对以下节点路径的访问：

配置 Dispatcher 以防御 CSRF 攻击 configure-dispatcher-to-prevent-csrf-attacks

AEM 提供了一个用于防御跨站点请求伪造攻击的框架。要正确使用此框架，请执行以下操作以列入允许列表Dispatcher中的CSRF令牌支持：

防御点击劫持攻击 prevent-clickjacking

若要防御点击劫持攻击，Adobe 建议您将 Web 服务器配置为将 X-FRAME-OPTIONS HTTP 标头集提供给 SAMEORIGIN。

有关点击劫持攻击的更多信息，请参阅 OWASP 网站。

执行渗透测试 perform-a-penetration-test

Adobe强烈建议您在开始生产之前对AEM基础架构执行渗透测试。