我们的Web应用程序中报告了CSRF问题,其中包含应用程序中的多个表单。我们的应用程序在前端运行(AEM),我们有使用SAML进行单点登录的sso层,我们还有单独的数据库层,它们通过Web服务公开所有数据,AEM将使用它来显示和更新数据。如果我们必须在AEM中对下面的所有ajax请求实现CSRF令牌,那么如何在DB级别处理它。我们从哪个层获取CSRF令牌。
jQuery.ajaxPrefilter(function(options, _, xhr) {
if ( !xhr.crossDomain )
xhr.setRequestHeader(CSRF_HEADER, securityToken);
});
答案 0 :(得分:1)
我将对您的应用程序架构进行猜测。
AEM Web App ---> Webservice Hosting App ---> DB。
此外,还有一个基于SAML身份验证的IDP。发布SSO身份验证后,用户的所有交互都与AEM Web应用程序进行。
假设上述情况,我将说这是一个常规的AEM网站。您可以使用OOTB AEM CSRF保护记录here。