Problem
Die direkt im Oak-Repository gespeicherte HTML-Datei öffnet sich nicht im Browser. Stattdessen wird sie in 6.1 SP2 und späteren Versionen heruntergeladen.
Umgebung
AEM 6.x
Ursache
Es ist eine beabsichtigte Änderung in AEM 6.2. Auch für 6.1 gilt die gleiche Änderung für Service Pack 2 und spätere Patchs.
Es wurde als Teil von Sling-Sicherheitsfix eingeführt.
https://issues.apache.org/jira/browse/SLING-4883 - Erweitern Sie den Inhaltsdispositions-Filterschutz auf jcr: data
https://issues.apache.org/jira/browse/SLING-4973 -Hinzufügen von der Inhaltsdisposition ausgeschlossenen Pfaden
Andere Kunden meldeten es als Sicherheitsproblem.
- Sie haben festgestellt, dass schädliche Dateien mithilfe der Funktionalität möglicherweise hochgeladen werden können.
- Greifen Sie über die oben genannte URL auf die hochgeladene Datei zu und vergewissern Sie sich, dass die Datei ausgeführt wird.
Lösung
Das Engineering hat das Problem behoben und diese Änderung implementiert. Die Datei wird standardmäßig heruntergeladen, anstatt im Browser geöffnet zu werden.
Dies erfolgt durch folgende OSGi-Konfiguration:
http://host:port/system/console/configMgr/org.apache.sling.security.impl.ContentDispositionFilter
Das aktivierte Kontrollkästchen - Das Aktivieren der Inhaltsdisposition für alle Pfade bewirkt diese Verhaltensänderung, die so vorgesehen ist.
Um zum alten Verhalten zurückzukehren:
Wenn man dieses Sicherheitsproblem in Kauf nimmt, kann man das Kontrollkästchen deaktivieren und die Datei wird direkt im Browser geöffnet, anstatt heruntergeladen zu werden. Somit entspricht es Ihren Anforderungen.
Bei Ihrem Konto anmelden