Çapraz site komut dosyası için AEM uygulamasında sorunlarımız var. Bir istek göndermeden önce herhangi bir komut dosyasını kontrol etmeye karar verdik. Sunucu tarafındaki SOAP isteğinde kullanılabilir herhangi bir betik olup olmadığını nasıl kontrol ederiz (Java). Çapraz site komut dosyası sorununu önlemek için doğru çözüm bu mu?Json isteğinde enjekte edilen herhangi bir betik olup olmadığını nasıl kontrol edebilirim?
cevap
Bu oldukça geniş bir sorudur ve herhangi bir mimari veya uygulama detayını bilmediğimizden uygulama ayrıntılarını sağlayamayız.
- şeyi çözmez bir formu göndermeden önce size, JS kullanarak, yalnızca tarayıcısında "komut kontrol" ise: Ancak akılda tutulması gereken bazı genel XSS şeyler vardır. İnsanlar bu formun başka herhangi bir araçtan (örn.
curl
, PostMan, vb.) Yapacağı HTTP isteğini basitçe yayınlayarak kolayca atlayabilir. Formun gönderdiği istekleri işlerken sunucu tarafında kötü veriler olup olmadığını denetlemeniz gerekir.
Bildiğim kadarıyla CQ sunucu tarafında bu tür bir şey nasıl yapılacağı gibidir:
: Adobe okumanız gereken bazı öneri vardır Bu sayfalardaki PDF "hile sayfası" bağlantısı muhtemelen en yararlı olacak.
XSS riski azaltmak için farklı yolları vardır. Verileri, yalnızca iyi verileri iyi bilinen verilerle listeleyerek, verileri bilinen herhangi bir kötü veriyi engellemek üzere kara listeye alma, kodların HTML olarak işlenmesini engellemek için verileri kodlamak üzere beyaz listeleme. OWASP recommendations
'a dikkat edin. Mükemmel bir okuma için, XSS güvenlik risklerini önlemek için bu API'deki yöntemleri kullanabilirsiniz.
Diğer taraftan, otomatik bağlamsal XSS protection sağlayan görmeyi kullanmaya başlayabilirsiniz.
sorunuz açık değil. "Bir istek göndermeden önce herhangi bir komut dosyasını kontrol etmeye karar verdik" ile ne demek istiyorsun? belki daha iyi anlamak için bir örnek verebilirsin. – awd
Merhaba, AEM uygulamasında birçok form var ve verileri veritabanına gönderiyoruz. DB'de güncellemek için bir istek göndermeden önce, istekte herhangi bir betiği kontrol edin. (Burada, webservices yoluyla veritabanına basmak ve AEM'den bir json talebi oluşturmak için SOAP kullanıyoruz) –
Bkz. Http://stackoverflow.com/questions/24800295/nasıl-yapılandırmak-antisamy-in-CQ-5-5 –