Arresta il server di AEM Forms.
AEM 6.4 Forms ha introdotto controlli di sicurezza sostanziali per prevenire attacchi di cross-site scripting (XSS). Questi miglioramenti possono bloccare alcune richieste HTTP valide per i clienti che utilizzano componenti personalizzati in AEM Forms. Se una richiesta HTTP è bloccata, il messaggio “Got Exception while Validating XSS” apparirà nei log del server. Ad sempio:
Got Exception while Validating XSS: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100: org.owasp.esapi.errors.ValidationException: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100
Per risolvere il problema, è possibile rimuovere manualmente i controlli di sicurezza per consentire tutte le richieste HTTP. La rimozione dei controlli di sicurezza rende il sistema vulnerabile agli attacchi di cross-site scripting (XSS). Si raccomanda di rimuovere i controlli di sicurezza solo come soluzione temporanea. Contatta il supporto Adobe per una soluzione permanente.
Esegui le seguenti operazioni per rimuovere temporaneamente i controlli di sicurezza:
-
-
Crea un backup del file .ear in \configurationManager\export\adobe-livecycle-<application server_name> [directory di installazione di AEM Forms].
-
Estrai il file .ear easpi-helper-2.x.x.jar file from the adobe-livecycle-<server_name>. La posizione del file easpi-helper-2.x.x.jar è diversa per ogni application server
Server applicazioni
Posizione del file easpi-helper-2.x.x.jar
JBoss
adobe-livecycle-jboss.ear/lib
Oracle WebLogic
adobe-livecycle-weblogic.ear/APP-INF/lib
IBM WebSphere
adobe-livecycle-websphere.ear/
-
Apri e modifica i file [extracted easpi-helper-2.x.x.jar]/esapi/validation.properties and [extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties.
-
Imposta il valore delle seguenti proprietà su ^[\\s\\S]*$ . Per esempio, Validator. HTTPParameterName =^[\\s\\S]*$
- Validator.HTTPQueryString
- Validator.PMCallParameterName
- Validator.PMCallParameterValue
- Validator.HTTPParameterName
- Validator.HTTPParameterValue
- Validator.xssSafeString
Salva e chiudi i file.
-
Prepara il file aggiornato easpi-helper-2.x.x.jar in adobe-livecycle-<application server_name>.ear. Distribuisci l'aggiornamento adobe-livecycle-<application server_name>.ear sul server dell'applicazione.
Avvia il server AEM Forms.
Accedi al tuo account