Show Menu
SUJETS×

Le framework de protection CSRF

En plus du filtre Apache Sling Referrer, Adobe fournit également un nouveau framework de protection CSRF pour se protéger contre ce type d’attaque.
Le framework utilise des jetons pour garantir que la demande du client est légitime. Les jetons sont générés lorsque le formulaire est envoyé au client et validé lorsque le formulaire est renvoyé au serveur.
Il n’existe aucun jeton sur les instances de publication pour les utilisateurs anonymes.

Conditions requises

Dépendances

Tout composant associé à la dépendance granite.jquery bénéficie automatiquement du framework de protection CSRF. Si ce n’est pas le cas pour l’un de vos composants, vous devez déclarer une dépendance à granite.csrf.standalone avant de pouvoir utiliser le framework.

Réplication de la clé de chiffrement

In order to make use of the tokens, you need to replicate the /etc/keys/hmac binary to all of the instances in your deployment. Un moyen pratique de copier la clé HMAC sur toutes les instances consiste à créer un module contenant la clé et à l’installer via le gestionnaire de modules sur toutes les instances.
Assurez-vous également d’effectuer les modifications de configuration du dispatcher nécessaires pour utiliser le framework de protection CSRF.
If you use the manifest cache with your web application, make sure you add " * " to the manifest in order to make sure the token does not take the CSRF token generation call offline. Pour plus d’informations, consultez ce lien .
Pour plus d’informations sur les attaques CSRF et les moyens de s’en protéger, consultez la page Cross-Site Request Forgery OWASP .