AEM Forms bloque les requêtes HTTP valides

AEM 6.4 Forms a introduit des contrôles de sécurité importants pour empêcher les attaques par les scripts (XSS). Ces améliorations peuvent bloquer certaines requêtes HTTP valides pour les utilisateurs utilisant des composants personnalisés dans AEM Forms. Si une requête http est bloquée, le message « Got Exception while Validating XSS » apparaît dans les journaux du serveur. Par exemple,  

Got Exception while Validating XSS: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100: org.owasp.esapi.errors.ValidationException: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100

Pour résoudre le problème, vous pouvez supprimer manuellement les vérifications de sécurité afin d’autoriser toutes les requêtes HTTP. La suppression des vérifications de sécurité rend le système vulnérable aux attaques multi-site par scripts (XSS). Il est recommandé de supprimer seulement temporairement les vérifications de sécurité. Contactez le support technique d’Adobe pour une solution permanente.

Procédez comme suit pour supprimer temporairement les vérifications de sécurité :

  1. Arrêtez le serveur AEM Forms.  

  2. Créer une sauvegarde du fichier [AEM-Forms-Installation-Directory] \configurationManager\export\adobe-livecycle-<application server_name>.ear.  

  3. Extrayez le fichier easpi-helper-2.x.x.jar dans le dossier adobe-livecycle-<server_name>.ear. L’emplacement du fichier easpi-helper-2.x.x.jar est différent pour chaque serveur d’application :

    Serveur d’application

    Emplacement du fichier easpi-helper-2.x.x.jar

    JBoss

    adobe-livecycle-jboss.ear/lib

    Oracle WebLogic

    adobe-livecycle-weblogic.ear/APP-INF/lib

    IBM WebSphere

    adobe-livecycle-websphere.ear/

  4. Ouvrez les fichiers [easpi-helper-2.x.x.jar les fichiers] /esapi/validation.properties et [extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties pour les modifier.  

  5. Définissez la valeur des propriétés suivantes property to^[\\s\\S]*$ . Par exemple, programme de validation. HTTPParameterName =^[\\s\\S]*$

    • Validator.HTTPQueryString
    • Validator.PMCallParameterName
    • Validator.PMCallParameterValue
    • Validator.HTTPParameterName
    • Validator.HTTPParameterValue
    • Validator.xssSafeString

    Sauvegardez et fermez les fichiers.

  6. Empaquetez le fichier easpi-helper-2.x.x.jar mis à jour dans adobe-livecycle-<application server_name>.ear. Déployez le fichier adobe-livecycle-<application server_name>.ear mis à jour dans le serveur d’applications.

    Démarrez le serveur AEM Forms.

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?