1. 我在管理一個使用Adobe CQ5作爲其管理系統的網站。我知道在/bin文件夾中有一個工具querybuilder.json - 我的問題是,如果外部用戶使用這個工具,他們將使用哪種API語法來查詢「重要」或「敏感信息」。我需要知道這一點,以便在GET或POST期間阻止對這些語法字符串的訪問。任何幫助表示讚賞,謝謝!Adobe CQ5 API用法
所以,我問的是,如果攻擊者訪問了查詢生成器鏈接,他是否能夠查詢密碼或內部登錄名,如果是這樣的話?如果是,我可以刪除查詢生成器的哪種語法來挑起這個?
2. 另外,任何人都可以告訴我適用於adobe querybuilder的語法,它可以爲您提供其列出的目錄所在的主機名或Web位置?
因此,例如,如果我得到/apps/geometrixx/user/login作爲輸出,我也想要得到這個文件路徑在我的服務器上的URL。是否有可用於此操作的語法?
請考慮禁用爲路徑的所有請求與/bin前綴開始爲您發佈實例。
這是所有對創作非常有用的servlet的通用存儲空間,但對於其他實例來說不是那麼多。
如果您在應用程序中有任何自定義servlet,請查看Apache Sling documentation並考慮使用基於資源的servlet。
@SlingServlet(
resourceTypes = "sling/servlet/default",
selectors = "hello",
extensions = "html",
methods = "GET")
public class MyServlet extends SlingSafeMethodsServlet {
這樣你就可以使用的ACL控制訪問該servlet - 如果你有到節點的接入(例如,你可以看到它/渲染基於該資源的組件),你必須將訪問servlet的。
,以防止像這樣的工具未經授權的訪問,最好的辦法,就是deny *以.json您的調度員,只有allow調用應用程序特定的JSON。在Security Checklist中可以找到一個好的開始。
關於查詢構建器中的文件可以在這裏找到:http://docs.adobe.com/docs/en/aem/6-0/develop/search/querybuilder-api.html