セキュリティの脅威と軽減策
このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。
クロスサイト リクエスト フォージェリ (CSRF) とクロスサイト スクリプティング (XSS) は2つの一般的なWebアプリケーションの脆弱性であり、Sitecore Content Hubはそれらを軽減するために複数の保護レイヤーを提供します。
CSRF攻撃
クロスサイトリクエストフォージェリ(CSRF)は、ユーザーが認証されたWebアプリケーション上で望ましくないアクションを実行するようにユーザーをだます攻撃です。攻撃者は、被害者の資格情報 (セッションCookieなど) を使用して、巧妙に細工された悪意のある要求をWebアプリケーションに送信し、要求がサーバーに対して正当であるように見せかけます。CSRF攻撃は、通常、ユーザーの詳細やデータの更新や削除など、サーバー上での状態変更アクションを標的としています。これらのアクションは、Webアプリケーションが認証されたユーザーからの正当な要求と攻撃者からの悪意のある偽造された要求を区別できないため、危険です。データ取得アクションは、通常、CSRF攻撃では、応答が攻撃者に直接ではなく被害者のブラウザに送信されるため、あまり役に立ちません。
緩和
Cross-Origin Resource Sharing (CORS) のW3C標準に準拠するすべてのブラウザーは、APIにアクセスする前に、外部サイトがAPIの使用を許可されているかどうかを確認するために、プレフライト要求 (OPTIONS要求とも呼ばれます) を行います。 Access-Control-Allow-Originヘッダーの存在をチェックし、任意のオリジンからの要求を許可するように * に設定できます。このヘッダーが存在しない場合、要求は拒否されます。
Internet ExplorerやSafariの特定のビルドなど、W3C標準に準拠していないブラウザーの場合、Content Hubには追加のセキュリティレイヤーが含まれています。Content Hub APIはapplication/JSONを使用してのみ通信し、XMLHttpRequestのwithCredentialsフラグをtrueに設定する必要があります。このフラグにより、クロスサイトリクエストにCookie、認証ヘッダー、TLSクライアント証明書などの認証情報が含まれるようになります。
最後に、Webサイトは設定したCookieのみを読み取ることができるため、Content Hubはページが更新されるたびにサーバーにトークンを生成させます。このトークンはCookieとして保存され、ユーザーが実際のサイトにいる場合にのみ抽出され、リクエストと共に送信されます。これにより、サイトの外部から要求をレプリケートできなくなります。
XSS攻撃
クロスサイトスクリプティング(XSS)は、攻撃者が悪意のあるクライアント側のコードを、無害で信頼できるWebサイトに挿入できるようにするセキュリティエクスプロイトです。このコードは被害者によって実行され、攻撃者はアクセス制御をバイパスしてユーザーになりすますことができます。これらの攻撃は、Webアプリが十分な検証またはエンコードを使用していない場合に成功します。ユーザーのブラウザは、悪意のあるスクリプトが信頼できないことを検出できないため、Cookie、セッショントークン、またはその他の機密性の高いサイト固有の情報へのアクセスを許可し、悪意のあるスクリプトがHTMLコンテンツを書き換えることを許可します。
緩和
すべてのユーザー出力は、JavaScriptを実行しないテキスト バインディング、またはスクリプトの実行を防ぐリッチ テキスト エディター バインディング (リッチ テキスト フィールド用) のいずれかです。