Problème
Le fichier HTML stocké directement dans le référentiel Oak ne s’ouvre pas dans le navigateur. Au lieu de cela, il est téléchargé dans 6,1 SP2 et les versions ultérieures.
Environnement
AEM 6.x
Cause
Il s'agit d'une modification attendu dans AEM 6.2. Même pour 6.1, la même modification s'applique vers le Service Pack 2 et ses correctifs ultérieurs.
Elle a été présenté comme un Correctif de sécurité de Sling.
https://issues.apache.org/jira/browse/SLING-4883 - Étendre la protection du filtre de disposition de contenu à jcr: data
https://issues.apache.org/jira/browse/SLING-4973 - Ajouter des chemins d'accès exclus de disposition du contenu
D'autres clients l'ont signalé en tant que problème de sécurité.
- Ils ont identifié que les fichiers malveillants peuvent potentiellement être téléchargés en utilisant la fonctionnalité.
- Accédez au fichier téléchargé via l’URL mentionnée ci-dessus et vérifiez que le fichier s'exécute.
Résolution
L’équipe d’ingénierie fixe le problème ainsi que l'application de cette modification et, par défaut, le fichier est téléchargé au lieu de s’ouvrir dans le navigateur.
Cela est fourni par la configuration OSGi suivante :
http://host:port/system/console/configMgr/org.apache.sling.security.impl.ContentDispositionFilter
La boîte cochée Mise en page du contenu pour tous les tracés cause ce changement de comportement, qui est attendu.
Pour revenir au comportement précédent :
Si l’on est d'accord pour prendre ce risque de sécurité, il est possible de décocher la case de sorte que le fichier soit directement ouvert dans le navigateur au lieu d’être téléchargé. Par conséquent, vos besoins sont satisfaits.
Accéder à votre compte