Business Manager での CSRF に対する保護

CSRF 攻撃

すべての Business Manager ページは、CSRF 攻撃に対して自動的に保護されます。Business Manager ページが Commerce Cloud サーバーにリクエストを行うたびに、ページによって特別な CSRF トークンが自動的にリクエストに挿入されます。サーバーがリクエストを受信すると、リクエストが保護された (害となる可能性のある) アクションを実行しようとしているかどうかが判定されます。リクエストがこのようなアクションを実行しようとすると、挿入されたトークンがサーバーによって自動的に検証されます。トークンが検証されると、サーバーは保護されたアクションを完了し、予想されている応答を返します。検証されなかった場合は、SIG では 17.4 および PIG では 17.5 から、サーバーによって警告がログされ、場合によってはエラーページが返されます。

エラーページが表示された場合は、指示されたステップにしたがって、エラーが発生したページを再試行してください。再試行が成功した場合は、エラーは無視できます。しかし再試行が失敗してエラーが再度表示された場合は、CSRF 攻撃が行われている可能性が高く、また、同時にこの攻撃から保護されています。この場合は、セキュリティ部門に連絡してください。

CSRF に関連するエラーやログエントリがあっても、攻撃が実際に行われているとは限りません。Salesforce 管理者は、CSRF ログエントリをトラブルシューティングして、実際の原因を調査し、適切な対応を決定できます。Business Manager のカスタム拡張機能を使用している場合は、CSRF トークンを適切に挿入するためにデベロッパーが拡張機能のカスタムコードを変更する必要があります。その他の場合は、特定のパイプラインやユーザーエージェントを許可リストに追加できます。

CSRF ログエントリのトラブルシューティング

CSRF ログエントリは次の形式を使用しています。

Pipeline CSRF Token not valid[reason]: pipeline: (token|no_token)::Referer/Origin: URL::UserAgent: agent
            

各パラメーターの説明:

• reason は検証が失敗した理由を説明する文字列です。以下のような理由が考えられます。
  • Origin validation ― リクエストが Business Manager ページではない Web サイトから送信された。
  • No token ― リクエストに CSRF トークンが挿入されていない。
  • CSRF token validation ― トークンがこのユーザーに対して正しくない、または、タイムアウトしている (タイムアウトは 1 時間)。
  • Exception occurred ― 処理中に予想外の事態が発生した (このエラーはキャッチオールです)。
• pipeline はリクエスト内のパイプラインの名前です。
• token はサーバーが受信したトークンです (リクエストでトークンが送信された場合)。
• no_token は、リクエストにトークンが見つからなかったことを示す文字列です: "CSRF Token doesn't exist." (CSRF トークンがありません。)
• URL はリクエストの起点を示す URL です。
• agent は、ユーザーエージェントの最初の 32 文字です。

ログファイルでこれらのエントリを見つけるには、「Pipeline CSRF Token」という文字列を検索します。

Log Center を参照してください。

ログエントリは、サーバーが有効な CSRF トークンを予想する際に、トークンが見つからない、またはトークンが無効な場合に作成されます。次の表に示すように、この動作はさまざまな状況で発生します。

<meta http-equiv="refresh" 
content="0; URL=${dw.web.URLUtils.url('ViewAccount-Show').toString()}">

<meta http-equiv="refresh" 
content="0; URL=${dw.web.URLUtils.url('ViewAccount-Show').appendCSRFTokenBM().toString()}">