Das CSRF Protection Framework the-csrf-protection-framework

Zusätzlich zum Apache Sling Referrer Filter bietet Adobe auch ein neues CSRF Protection Framework zum Schutz vor Angriffen dieser Art.

Das Framework verwendet Tokens, um sicherzustellen, dass die Client-Anfrage legitim ist. Die Token werden generiert, wenn das Formular an den Client gesendet und validiert wird, wenn das Formular an den Server zurückgesendet wird.

NOTE
Für anonyme Benutzer gibt es in den Veröffentlichungsinstanzen keine Token.

Voraussetzungen requirements

Abhängigkeiten dependencies

Jede Komponente, die auf der granite.jquery Abhängigkeiten können automatisch vom CSRF Protection Framework profitieren. Ist dies nicht der Fall, müssen Sie für eine Ihrer Komponenten eine Abhängigkeit zu deklarieren von granite.csrf.standalone bevor Sie das Framework verwenden können.

Replizieren des Crypto-Schlüssels replicating-crypto-keys

Um die Token zu verwenden, müssen Sie die HMAC-Binärdatei auf allen Instanzen in Ihrer Implementierung replizieren. Siehe Replizieren des HMAC-Schlüssels für weitere Details.

NOTE
Stellen Sie sicher, dass Sie auch die erforderlichen Dispatcher-Konfigurationsänderungen , um das CSRF Protection Framework zu verwenden.
NOTE
Wenn Sie den Manifestcache mit Ihrer Webanwendung verwenden, stellen Sie sicher, dass Sie "*", um sicherzustellen, dass das Token den CSRF-Token-Generierungsaufruf nicht offline nimmt. Weitere Informationen finden Sie unter diesem Link.
Weitere Informationen zu CSRF-Angriffen und Möglichkeiten, sie abzuschwächen, finden Sie auf der Seite Cross-Site Request Forgery OWASP.
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2