Adobe CQ5 API用法
1. 我在管理一个使用Adobe CQ5作为其管理系统的网站。我知道在/bin文件夹中有一个工具querybuilder.json - 我的问题是,如果外部用户使用这个工具,他们将使用哪种API语法来查询“重要”或“敏感信息”。我需要知道这一点,以便在GET或POST期间阻止对这些语法字符串的访问。任何帮助表示赞赏,谢谢!Adobe CQ5 API用法
所以,我问的是,如果攻击者访问了查询生成器链接,他是否能够查询密码或内部登录名,如果是这样的话?如果是,我可以删除查询生成器的哪种语法来挑起这个?
2. 另外,任何人都可以告诉我适用于adobe querybuilder的语法,它可以为您提供其列出的目录所在的主机名或Web位置?
因此,例如,如果我得到/apps/geometrixx/user/login作为输出,我也想要得到这个文件路径在我的服务器上的URL。是否有可用于此操作的语法?
请考虑禁用为路径的所有请求与/bin前缀开始为您发布实例。
这是所有对创作非常有用的servlet的通用存储空间,但对于其他实例来说不是那么多。
如果您在应用程序中有任何自定义servlet,请查看Apache Sling documentation并考虑使用基于资源的servlet。
@SlingServlet(
resourceTypes = "sling/servlet/default",
selectors = "hello",
extensions = "html",
methods = "GET")
public class MyServlet extends SlingSafeMethodsServlet {
这样你就可以使用的ACL控制访问该servlet - 如果你有到节点的接入(例如,你可以看到它/渲染基于该资源的组件),你必须将访问servlet的。
,以防止像这样的工具未经授权的访问,最好的办法,就是
deny*以.json您的调度员,只有allow调用应用程序特定的JSON。在Security Checklist中可以找到一个好的开始。关于查询构建器中的文件可以在这里找到:http://docs.adobe.com/docs/en/aem/6-0/develop/search/querybuilder-api.html