Configurer Dispatcher afin d’empêcher les attaques par falsification de requête intersites (CSRF, Cross Site Request Forgery) configuring-dispatcher-to-prevent-csrf-attacks
AEM fournit une infrastructure visant à empêcher les attaques par falsification de requête intersites. Pour utiliser correctement cette infrastructure, vous devez apporter les modifications suivantes à la configuration de Dispatcher :
- Dans la section
/clientheaders
de vos fichiers author-farm.any et publish-farm.any, ajoutez l’entrée suivante au bas de la liste :CSRF-Token
- Dans la section /filters de vos fichiers
author-farm.any
etpublish-farm.any
oupublish-filters.any
, ajoutez la ligne suivante afin d’autoriser les demandes pour/libs/granite/csrf/token.json
au moyen de Dispatcher./0999 { /type "allow" /glob " * /libs/granite/csrf/token.json*" }
- Dans la section
/cache /rules
de votre fichierpublish-farm.any
, ajoutez une règle permettant d’empêcher Dispatcher de mettre en cache le fichiertoken.json
. En général, les auteurs contournent la mise en cache, de sorte que vous n’avez pas à ajouter de règle au fichierauthor-farm.any
./0999 { /glob "/libs/granite/csrf/token.json" /type "deny" }
Pour vérifier que la configuration fonctionne, consultez le fichier dispatcher.log en mode de DÉBOGAGE pour contrôler que le fichier token.json n’est ni mis en cache, ni bloqué par des filtres. Des messages de ce type peuvent apparaître :... checking [/libs/granite/csrf/token.json]
... request URL not in cache rules: /libs/granite/csrf/token.json
... cache-action for [/libs/granite/csrf/token.json]: NONE
Vous pouvez également vérifier que les demandes réussissent dans le fichier Apache access_log
. Les requêtes pour``/libs/granite/csrf/token.json doivent renvoyer le code d’état HTTP 200.