AEM Forms blockiert gültige HTTP-Anforderungen

Suchen
AEM Forms on JEE Benutzerhandbuch
Gilt für: AEM Forms on JEE

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

AEM 6.4 Forms hat beträchtliche Sicherheitsprüfungen eingeführt, um seitenübergreifende Skriptattacken (XSS) zu vermeiden. Diese Verbesserungen können einige gültige HTTP-Anforderungen für Kunden blockieren, die benutzerdefinierte Komponenten in AEM Forms verwenden. Wenn eine HTTP-Anforderung blockiert wird, erscheint die "Got Exception while Validating XSS"-Nachricht in den Serverprotokollen. Beispiel,

Got Exception while Validating XSS: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100: org.owasp.esapi.errors.ValidationException: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100

Um das Problem zu beheben, können Sie die Sicherheitsprüfungen manuell entfernen, um alle HTTP-Anforderungen zuzulassen. Durch das Entfernen der Sicherheitsprüfungen ist das System anfällig für seitenübergreifende Skriptattacken (XSS). Es wird empfohlen, die Sicherheitsprüfungen nur als temporäre Lösung zu entfernen. Wenden Sie sich für eine dauerhafte Lösung an Adobe Support.

Führen Sie die folgenden Schritte aus, um vorübergehend Sicherheitsprüfungen zu entfernen:

  1. Beenden Sie den AEM Forms-Server.  

  2. Erstellen Sie eine Sicherung der [AEM-Forms-Installationsverzeichnis] \configurationManager\export\adobe-livecycle-<application server_name>.ear-Datei.  

  3. Extrahieren Sie die easpi-helper-2.x.x.jar-Datei aus der adobe-livecycle-<server_name>.ear-Datei. Der Speicherort der easpi-helper-2.x.x.jar-Datei ist für alle Anwendungsserver anders:

    Anwendungsserver Speicherort der easpi-helper-2.x.x.jar-Datei
    JBoss

    adobe-livecycle-jboss.ear/lib
    Oracle WebLogic

    adobe-livecycle-weblogic.ear/APP-INF/lib
    IBM WebSphere adobe-livecycle-websphere.ear/

  4. Öffen Sie die [extracted easpi-helper-2.x.x.jar]/esapi/validation.properties-Datei und die [extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties-Datei zum Bearbeiten.  

  5. Stellen Sie den Wert für die folgenden Eigenschaften zu ^[\\s\\S]*$ . Beispiel: Validator. HTTPParameterName =^[\\s\\S]*$

    • Validator.HTTPQueryString
    • Validator.PMCallParameterName
    • Validator.PMCallParameterValue
    • Validator.HTTPParameterName
    • Validator.HTTPParameterValue
    • Validator.xssSafeString

    Speichern und schließen Sie die Dateien.

  6. Packen Sie die aktualisierte easpi-helper-2.x.x.jar-Datei in adobe-livecycle-<application server_name>.ear. Stellen Sie die aktualisierte adobe-livecycle-<application server_name>.ear-Datei auf dem Anwendungsserver bereit.

    Starten Sie den AEM Forms-Server.