O AEM 6.4 Forms introduziu verificações de segurança substanciais para impedir ataques de cross-site scripting (XSS). Essas melhorias podem bloquear algumas solicitações HTTP válidas para clientes que usam componentes personalizados em Formulários AEM. Se uma solicitação HTTP for bloqueada, a mensagem ‘Got Exception while Validating XSS’ aparece nos logs do servidor. Por exemplo,

Got Exception while Validating XSS: nome do parâmetro HTTP params [browserLocale]: Invalid input. Por favor, esteja em conformidade com regex ^[a-zA-Z0-9_]{1,32}$ com um comprimento máximo de 100: org.owasp.esapi.errors.ValidationException: Nome do parâmetro HTTP: params [browserLocale]: Invalid input. Por favor, esteja em conformidade com regex ^[a-zA-Z0-9_]{1,32}$ com um comprimento máximo de 100

Para resolver o problema, você pode remover manualmente as verificações de segurança para permitir todas as solicitações HTTP. A remoção das verificações de segurança torna o sistema vulnerável a ataques de cross-site scripting (XSS). Recomenda-se remover as verificações de segurança apenas como uma solução temporária. Entre em contato com o suporte da Adobe para obter uma solução permanente.

Execute as etapas a seguir para remover temporariamente as verificações de segurança:

  1. Pare o servidor AEM Forms.  

  2. Criar um backup do arquivo [AEM-Forms-Installation-Directory] \configurationManager\export\adobe-livecycle-<application server_name>.ear.  

  3. Extraia o arquivo easpi-helper-2.x.x.jar do arquivo adobe-livecycle-<server_name>.ear. O local do arquivo easpi-helper-2.x.x.jar é diferente para cada servidor de aplicativo:

    Servidor de aplicativo Localização do arquivo easpi-helper-2.x.x.jar
    JBoss

    adobe-livecycle-jboss.ear/lib

    Oracle WebLogic

    adobe-livecycle-weblogic.ear/APP-INF/lib

    IBM WebSphere adobe-livecycle-websphere.ear/
  4. Abra os arquivos [extracted easpi-helper-2.x.x.jar]/esapi/validation.properties and [extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties para edição.  

  5. Defina o valor da propriedade das seguintes propriedades para ^[\\s\\S]*$ . Por exemplo, validador. HTTPParameterName =^[\\s\\S]*$

    • Validator.HTTPQueryString
    • Validator.PMCallParameterName
    • Validator.PMCallParameterValue
    • Validator.HTTPParameterName
    • Validator.HTTPParameterValue
    • Validator.xssSafeString

    Salve e feche os arquivos.

  6. Embale o atualizado easpi-helper-2.x.x.jar em adobe-livecycle-<application server_name>.ear. Implemente o atualizado adobe-livecycle-<application server_name>.ear no servidor de aplicativos.

    Inicie o servidor de Formulários AEM.

Esta obra está licenciada sob uma licença não adaptada da Creative Commons Attribution-Noncommercial-Share Alike 3.0  As publicações do Twitter™ e do Facebook não são cobertas pelos termos do Creative Commons.

Avisos legais   |   Política de privacidade online