Problem

Die direkt im Oak-Repository gespeicherte HTML-Datei öffnet sich nicht im Browser. Stattdessen wird sie in 6.1 SP2 und späteren Versionen heruntergeladen.

Umgebung

AEM 6.x

Ursache

Es ist eine beabsichtigte Änderung in AEM 6.2. Auch für 6.1 gilt die gleiche Änderung für Service Pack 2 und spätere Patchs. 

Es wurde als Teil von Sling-Sicherheitsfix eingeführt.

https://issues.apache.org/jira/browse/SLING-4883 - Erweitern Sie den Inhaltsdispositions-Filterschutz auf jcr: data

https://issues.apache.org/jira/browse/SLING-4973 -Hinzufügen von der Inhaltsdisposition ausgeschlossenen Pfaden

 

Andere Kunden meldeten es als Sicherheitsproblem. 

  1. Sie haben festgestellt, dass schädliche Dateien mithilfe der Funktionalität möglicherweise hochgeladen werden können.
  2. Greifen Sie über die oben genannte URL auf die hochgeladene Datei zu und vergewissern Sie sich, dass die Datei ausgeführt wird.

Lösung

Das Engineering hat das Problem behoben und diese Änderung implementiert. Die Datei wird standardmäßig heruntergeladen, anstatt im Browser geöffnet zu werden.

Dies erfolgt durch folgende OSGi-Konfiguration:

http://host:port/system/console/configMgr/org.apache.sling.security.impl.ContentDispositionFilter

Das aktivierte Kontrollkästchen - Das Aktivieren der Inhaltsdisposition für alle Pfade bewirkt diese Verhaltensänderung, die so vorgesehen ist.
 

Um zum alten Verhalten zurückzukehren:

Wenn man dieses Sicherheitsproblem in Kauf nimmt, kann man das Kontrollkästchen deaktivieren und die Datei wird direkt im Browser geöffnet, anstatt heruntergeladen zu werden. Somit entspricht es Ihren Anforderungen.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie