El marco de protección CSRF the-csrf-protection-framework

Last update: Thu Nov 09 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Además del filtro de referente de Apache Sling, Adobe también proporciona un nuevo marco de protección CSRF para protegerse contra este tipo de ataque.

El marco de trabajo utiliza tokens para garantizar que la solicitud del cliente sea legítima. Los tokens se generan cuando el formulario se envía al cliente y se validan cuando se devuelve al servidor.

NOTE

No hay tokens en las instancias de publicación para usuarios anónimos.

Requisitos requirements

Dependencias dependencies

Cualquier componente que dependa de granite.jquery La dependencia de puede beneficiarse del Marco de protección de CSRF automáticamente. Si no es así, para cualquiera de los componentes, debe declarar una dependencia a granite.csrf.standalone antes de poder utilizar el marco de trabajo.

Duplicación de la clave criptográfica replicating-crypto-keys

Para utilizar los tokens, debe replicar el binario HMAC en todas las instancias de la implementación. Consulte Duplicación de la clave HMAC para obtener más información.

NOTE

Asegúrese de hacer lo necesario Cambios de configuración de Dispatcher para utilizar el Marco de protección de CSRF.

NOTE

Si utiliza la caché de manifiesto con la aplicación web, asegúrese de agregar "*" al manifiesto para asegurarse de que el token no desconecte la llamada de generación de tokens CSRF. Para obtener más información, consulte vincular.

Para obtener más información sobre los ataques de CSRF y las formas de mitigarlos, consulte la Falsificación de solicitudes entre sitios página OWASP.

recommendation-more-help

19ffd973-7af2-44d0-84b5-d547b0dffee2