Show Menu
主题×

Dispatcher 安全核对清单

调度程序作为前端系统,为您的优惠基础架构Adobe Experience Manager额外的安全层。 Adobe强烈建议您在开始生产之前先完成以下核对清单。
您还必须先完成AEM版本的安全核对清单,然后才能上线。 请参阅相应的 Adobe Experience Manager文档

使用最新版Dispatcher

您应安装适用于您的平台的最新可用版本。 您应升级Dispatcher实例,以使用最新版本来充分利用产品和安全增强。 请参 阅安装Dispatcher
您可以通过查看调度程序日志文件来检查调度程序安装的当前版本。
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
要查找日志文件,请检查您的调度程序配置 httpd.conf

限制可刷新缓存的客户端

为传输层安全启用HTTPS

Adobe建议在创作和发布实例上启用HTTPS传输层。

限制访问

配置Dispatcher时,应尽可能限制外部访问。 请参 阅Dispatcher文档中 的示例/filter部分。

确保拒绝访问管理URL

确保使用过滤器阻止对任何管理URL(如Web控制台)的外部访问。
请参 阅测试Dispatcher安 全性,以了解需要阻止的URL的列表。

使用Allowlists代替块列表

Allowlist是一种提供访问控制的更好方法,因为它们本身就假定所有访问请求都应被拒绝,除非它们明确地属于allowlist。 此模型对某些配置阶段可能尚未审核或考虑的新请求提供更严格的控制。

与专用系统用户一起运行Dispatcher

配置Dispatcher时,您应确保Web服务器由专用用户以最少的权限运行。 建议仅授予对调度程序缓存文件夹的写访问权限。
此外,IIS用户需要按如下方式配置其网站:
  1. 在网站的物理路径设置中,选择Connect 作为特定用户
  2. 设置用户。

防止拒绝服务(DoS)攻击

拒绝服务(DoS)攻击是试图使计算机资源对其预期用户不可用。
在调度程序级别,有两种配置方法可防止DoS攻击: filter
  • 使用mod_rewrite模块(例如, Apache 2.4 )执行URL验证(如果URL模式规则不太复杂)。
  • 通过使用过滤器,防止调度程序缓存具有虚假扩展的 URL 。 例如,更改缓存规则以将缓存限制为预期的mime类型,例如:
    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt
    可以看到限制外部访问的 示例配置文件 ,这包括MIME类型的限制。
要安全地在发布实例上启用完整功能,请配置过滤器以阻止访问以下节点:
  • /etc/
  • /libs/
然后,配置过滤器以允许访问以下节点路径:
  • /etc/designs/*
  • /etc/clientlibs/*
  • /etc/segmentation.segment.js
  • /libs/cq/personalization/components/clickstreamcloud/content/config.json
  • /libs/wcm/stats/tracker.js
  • /libs/cq/personalization/* (JS、CSS和JSON)
  • /libs/cq/security/userinfo.json (CQ用户信息)
  • /libs/granite/security/currentuser.json ( 数据不得缓存 )
  • /libs/cq/i18n/* (内部化)

Configure Dispatcher to prevent CSRF Attacks

AEM提供了一 个旨在 防止跨站点请求伪造攻击的框架。 为了正确利用此框架,您需要允许在调度程序中列出CSRF令牌支持。 可通过以下方式执行此操作:
  1. 创建允许路径的 /libs/granite/csrf/token.json 过滤器;
  2. 将标 CSRF-Token 头添加到Dispatcher clientheaders 配置的一节。

防止点击劫持

为防止点击劫持,我们建议您配置Web服务器以提供 X-FRAME-OPTIONS 设置为的HTTP头 SAMEORIGIN

执行渗透测试

Adobe强烈建议在开始生产之前对AEM基础架构执行渗透测试。