AEM 6.4 Forms a introduit des contrôles de sécurité importants pour empêcher les attaques par les scripts (XSS). Ces améliorations peuvent bloquer certaines requêtes HTTP valides pour les utilisateurs utilisant des composants personnalisés dans AEM Forms. Si une requête http est bloquée, le message « Got Exception while Validating XSS » apparaît dans les journaux du serveur. Par exemple,

Got Exception while Validating XSS: HTTP parameter name: params[browserLocale]: Invalid input. Veuillez respecter le regex ^[a-zA-Z0-9_]{1,32}$ avec une longueur maximale de 100 : org.owasp.esapi.errors.ValidationException: HTTP parameter name: params[browserLocale]: Invalid input. Veuillez respecter le regex ^[a-zA-Z0-9_]{1,32}$ avec une longueur maximale de 100

Pour résoudre le problème, vous pouvez supprimer manuellement les vérifications de sécurité afin d’autoriser toutes les requêtes HTTP. La suppression des vérifications de sécurité rend le système vulnérable aux attaques multi-site par scripts (XSS). Il est recommandé de supprimer seulement temporairement les vérifications de sécurité. Contactez le support technique d'Adobe pour une solution permanente.

Procédez comme suit pour supprimer temporairement les vérifications de sécurité :

  1. Arrêtez le serveur AEM Forms.  

  2. Créer une sauvegarde du fichier [AEM-Forms-Installation-Directory] \configurationManager\export\adobe-livecycle-<application server_name>.ear.  

  3. Extrayez le fichier easpi-helper-2.x.x.jar dans le dossier adobe-livecycle-<server_name>.ear. L'emplacement du fichier easpi-helper-2.x.x.jar est différent pour chaque serveur d'application :

    Serveur d'application Emplacement du fichier easpi-helper-2.x.x.jar
    JBoss

    adobe-livecycle-jboss.ear/lib

    Oracle WebLogic

    adobe-livecycle-weblogic.ear/APP-INF/lib

    IBM WebSphere adobe-livecycle-websphere.ear/
  4. Ouvrez les fichiers [easpi-helper-2.x.x.jar les fichiers] /esapi/validation.properties et [extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties pour les modifier.  

  5. Définissez la valeur des propriétés suivantes property to^[\\s\\S]*$ . Par exemple, programme de validation. HTTPParameterName =^[\\s\\S]*$

    • Validator.HTTPQueryString
    • Validator.PMCallParameterName
    • Validator.PMCallParameterValue
    • Validator.HTTPParameterName
    • Validator.HTTPParameterValue
    • Validator.xssSafeString

    Sauvegardez et fermez les fichiers.

  6. Empaquetez le fichier easpi-helper-2.x.x.jar mis à jour dans adobe-livecycle-<application server_name>.ear. Déployez le fichier adobe-livecycle-<application server_name>.ear mis à jour dans le serveur d'applications.

    Démarrez le serveur AEM Forms.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne