CSRF 攻撃を防止するための Dispatcher の設定 configuring-dispatcher-to-prevent-csrf-attacks
AEM には、クロスサイトリクエストフォージェリ攻撃を防ぐことを目的としたフレームワークがあります。このフレームワークを適切に利用するには、Dispatcher 設定を次のように変更する必要があります。
NOTE
既存の設定に基づいて、以下の例のルール番号を必ず変更してください。Dispatcher は、最後に一致したルールを使用して許可または拒否するので、既存リストの下部にルールを配置してください。
- author-farm.any ファイルと publish-farm.any ファイルの
/clientheaders
セクションで、リストの下部に次のエントリを追加します。CSRF-Token
author-farm.any
ファイル、publish-farm.any
ファイル、またはpublish-filters.any
ファイルの /filters セクションに次の行を追加して、Dispatcher 経由での/libs/granite/csrf/token.json
に対する要求を許可します。/0999 { /type "allow" /glob " * /libs/granite/csrf/token.json*" }
publish-farm.any
ファイルの/cache /rules
セクションに、Dispatcher がtoken.json
ファイルをキャッシュできないようにするルールを追加します。一般的に、オーサーインスタンスはキャッシュをバイパスするので、author-farm.any
ファイルにルールを追加する必要はありません。/0999 { /glob "/libs/granite/csrf/token.json" /type "deny" }
設定が機能していることを検証するには、DEBUG モードの dispatcher.log を見て、token.json ファイルがキャッシュされておらず、フィルターによってブロックされていることを検証します。次のようなメッセージが表示されるはずです。... checking [/libs/granite/csrf/token.json]
... request URL not in cache rules: /libs/granite/csrf/token.json
... cache-action for [/libs/granite/csrf/token.json]: NONE
Apache の access_log
で、要求が引き継がれていることを検証することもできます。/libs/granite/csrf/token.json に対する要求には、HTTP 200 のステータスコードが返されます。
recommendation-more-help
ce382601-480f-4a99-8be7-73178d4b6ef5