topic Re: Possible CSRF attack noted when asserting referer header in Alfresco Archive https://connect.hyland.com/t5/alfresco-archive/possible-csrf-attack-noted-when-asserting-referer-header/m-p/184209#M137339 <HTML><HEAD></HEAD><BODY><P>Buenas:</P><P></P><P>Simplemente esta cantando una policy de seguridad que tiene Alfresco Share (CSRF - <SPAN style="color: #222222; font-family: arial, sans-serif; font-size: 16px;">Cross-site request forgery</SPAN>).</P><P>Estas policies se configuran en el archivo $ALF_HOME/tomcat/shared/classes/alfresco/web-extension/share-config-custom.xml&nbsp; </P><P>Si quieres deshabilitar las policies de CSRF puedes hacerlo descomentando esta sección en el archivo: </P><P></P><BLOCKQUOTE><TABLE border="1"><TBODY><TR><TD><P>&nbsp;&nbsp; &lt;!-- Disable the CSRF Token Filter --&gt;</P><P>&nbsp;&nbsp; &lt;!--</P><P>&nbsp;&nbsp; &lt;config evaluator="string-compare" condition="CSRFPolicy" replace="true"&gt;</P><P>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;filter/&gt;</P><P>&nbsp;&nbsp; &lt;/config&gt;</P><P>&nbsp;&nbsp; --&gt;</P></TD></TR></TBODY></TABLE></BLOCKQUOTE><P></P><P>Aunque lo más adecuado es decirle a Alfresco qué hosts pueden hacerle peticiones de proxy.</P><P>Puedes leer más sobre CSRF en el whitepaper de <B>toni.delafuente _</B>​&nbsp; "Alfresco Security White Paper":</P><P></P><P><A href="http://blyx.com/2014/10/08/my-talk-about-alfresco-security-best-practices-at-the-alfresco-summit-2014/" title="http://blyx.com/2014/10/08/my-talk-about-alfresco-security-best-practices-at-the-alfresco-summit-2014/" rel="nofollow noopener noreferrer">My talk about “Alfresco Security Best Practices” at the Alfresco Summit 2014 – : : blyx.com : : Blog : : Toni de la Fuen…</A> </P><P></P><P>Saludos.</P><P></P><P>--C.</P></BODY></HTML> Wed, 19 Oct 2016 09:08:39 GMT cesarista 2016-10-19T09:08:39Z Possible CSRF attack noted when asserting referer header https://connect.hyland.com/t5/alfresco-archive/possible-csrf-attack-noted-when-asserting-referer-header/m-p/184208#M137338 Hello everyone,I have a problem after put my alfresco behind apache httpd<IMG id="smileytongue" class="emoticon emoticon-smileytongue" src="https://migration33.stage.lithium.com/i/smilies/16x16_smiley-tongue.png" alt="Smiley Tongue" title="Smiley Tongue" />roxyPass&nbsp;&nbsp;&nbsp;&nbsp; /share&nbsp;&nbsp;&nbsp;&nbsp; http://127.0.0.1:8081/shareProxyPassReverse /share&nbsp;&nbsp;&nbsp;&nbsp; http://127.0.0.1:8081/share&lt;Location “/share&gt;Order allow,denyAllow from All&lt;/Location&gt;Getting error...Oct 19, 2016 12:35:42 PM org.apa Wed, 19 Oct 2016 07:25:46 GMT https://connect.hyland.com/t5/alfresco-archive/possible-csrf-attack-noted-when-asserting-referer-header/m-p/184208#M137338 ppg 2016-10-19T07:25:46Z Re: Possible CSRF attack noted when asserting referer header https://connect.hyland.com/t5/alfresco-archive/possible-csrf-attack-noted-when-asserting-referer-header/m-p/184209#M137339 <HTML><HEAD></HEAD><BODY><P>Buenas:</P><P></P><P>Simplemente esta cantando una policy de seguridad que tiene Alfresco Share (CSRF - <SPAN style="color: #222222; font-family: arial, sans-serif; font-size: 16px;">Cross-site request forgery</SPAN>).</P><P>Estas policies se configuran en el archivo $ALF_HOME/tomcat/shared/classes/alfresco/web-extension/share-config-custom.xml&nbsp; </P><P>Si quieres deshabilitar las policies de CSRF puedes hacerlo descomentando esta sección en el archivo: </P><P></P><BLOCKQUOTE><TABLE border="1"><TBODY><TR><TD><P>&nbsp;&nbsp; &lt;!-- Disable the CSRF Token Filter --&gt;</P><P>&nbsp;&nbsp; &lt;!--</P><P>&nbsp;&nbsp; &lt;config evaluator="string-compare" condition="CSRFPolicy" replace="true"&gt;</P><P>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;filter/&gt;</P><P>&nbsp;&nbsp; &lt;/config&gt;</P><P>&nbsp;&nbsp; --&gt;</P></TD></TR></TBODY></TABLE></BLOCKQUOTE><P></P><P>Aunque lo más adecuado es decirle a Alfresco qué hosts pueden hacerle peticiones de proxy.</P><P>Puedes leer más sobre CSRF en el whitepaper de <B>toni.delafuente _</B>​&nbsp; "Alfresco Security White Paper":</P><P></P><P><A href="http://blyx.com/2014/10/08/my-talk-about-alfresco-security-best-practices-at-the-alfresco-summit-2014/" title="http://blyx.com/2014/10/08/my-talk-about-alfresco-security-best-practices-at-the-alfresco-summit-2014/" rel="nofollow noopener noreferrer">My talk about “Alfresco Security Best Practices” at the Alfresco Summit 2014 – : : blyx.com : : Blog : : Toni de la Fuen…</A> </P><P></P><P>Saludos.</P><P></P><P>--C.</P></BODY></HTML> Wed, 19 Oct 2016 09:08:39 GMT https://connect.hyland.com/t5/alfresco-archive/possible-csrf-attack-noted-when-asserting-referer-header/m-p/184209#M137339 cesarista 2016-10-19T09:08:39Z