DocumentaciónAEM 6.5Guía del usuario

Seguridad security

Last update: Wed Apr 17 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Creado para:

  • Developer

La seguridad de la aplicación se inicia durante la fase de desarrollo. El Adobe recomienda aplicar las siguientes prácticas recomendadas de seguridad.

Usar sesión de solicitud use-request-session

Siguiendo el principio de menor privilegio, Adobe recomienda que cada acceso al repositorio se realice mediante la sesión enlazada a la solicitud del usuario y el control de acceso adecuado.

Protect con scripts en sitios múltiples (XSS) protect-against-cross-site-scripting-xss

El proceso de ejecución de scripts en sitios múltiples (XSS) permite a los atacantes insertar código en páginas web que han visto otros usuarios. Los usuarios web malintencionados pueden aprovechar esta vulnerabilidad de seguridad para evitar los controles de acceso.

AEM Se aplica el principio de filtrado de todo el contenido proporcionado por el usuario en la salida. La prevención de XSS tiene la máxima prioridad tanto durante el desarrollo como durante las pruebas.

AEM El mecanismo de protección XSS proporcionado por el usuario se basa en la variable Biblioteca Java™ AntiSamy proporcionado por OWASP (El proyecto Open Web Application Security). La configuración predeterminada de AntiSamy se encuentra en

/libs/cq/xssprotection/config.xml

Es importante que adapte esta configuración a sus propias necesidades de seguridad superponiendo el archivo de configuración. El funcionario Documentación de AntiSamy proporciona toda la información necesaria para implementar los requisitos de seguridad.

NOTE
El Adobe recomienda que siempre acceda a la API de protección XSS utilizando AEM XSSAPI proporcionado por el usuario de.

Además, un cortafuegos de aplicaciones web, como mod_security para Apache, puede proporcionar un control central y fiable sobre la seguridad del entorno de implementación y proteger contra ataques de scripts entre sitios que no se habían detectado anteriormente.

Acceso a la información del Cloud Service access-to-cloud-service-information

NOTE
Las ACL de la información del Cloud Service y la configuración de OSGi necesaria para proteger su instancia están automatizadas como parte de Modo Producción lista. Aunque esto significa que no necesita cambiar la configuración manualmente, se recomienda revisarla antes de activarla con la implementación.

Cuando usted AEM integración de la instancia de con Adobe Experience Cloud, se utiliza Configuraciones del Cloud Service. La información sobre estas configuraciones, junto con las estadísticas recopiladas, se almacenan en el repositorio. El Adobe recomienda que, si utiliza esta funcionalidad, revise si la seguridad predeterminada de esta información coincide con sus necesidades.

El módulo webservicesupport escribe estadísticas e información de configuración en:

/etc/cloudservices

Con los permisos predeterminados:

  • Entorno de creación: read para contributors

  • Entorno de publicación: read para everyone

Protect contra ataques de falsificación de solicitud en sitios múltiples protect-against-cross-site-request-forgery-attacks

AEM Para obtener más información sobre los mecanismos de seguridad que emplea el para mitigar los ataques de CSRF, consulte la Filtro de referente de Sling de la lista de comprobación de seguridad y la Documentación del marco de protección CSRF.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2