Beenden Sie den AEM Forms-Server.
AEM 6.4 Forms hat beträchtliche Sicherheitsprüfungen eingeführt, um seitenübergreifende Skriptattacken (XSS) zu vermeiden. Diese Verbesserungen können einige gültige HTTP-Anforderungen für Kunden blockieren, die benutzerdefinierte Komponenten in AEM Forms verwenden. Wenn eine HTTP-Anforderung blockiert wird, erscheint die „Got Exception while Validating XSS“-Nachricht in den Serverprotokollen. Beispiel:
Got Exception while Validating XSS: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100: org.owasp.esapi.errors.ValidationException: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100
Um das Problem zu beheben, können Sie die Sicherheitsprüfungen manuell entfernen, um alle HTTP-Anforderungen zuzulassen. Durch das Entfernen der Sicherheitsprüfungen ist das System anfällig für seitenübergreifende Skriptattacken (XSS). Es wird empfohlen, die Sicherheitsprüfungen nur als temporäre Lösung zu entfernen. Wenden Sie sich für eine dauerhafte Lösung an Adobe Support.
Führen Sie die folgenden Schritte aus, um vorübergehend Sicherheitsprüfungen zu entfernen:
-
-
Erstellen Sie eine Sicherung der [AEM-Forms-Installationsverzeichnis] \configurationManager\export\adobe-livecycle-<application server_name>.ear-Datei.
-
Extrahieren Sie die easpi-helper-2.x.x.jar-Datei aus der adobe-livecycle-<server_name>.ear-Datei. Der Speicherort der easpi-helper-2.x.x.jar-Datei ist für alle Anwendungsserver anders:
Anwendungs-Server
Speicherort der Datei „easpi-helper-2.x.x.jar“
JBoss
adobe-livecycle-jboss.ear/lib
Oracle WebLogic
adobe-livecycle-weblogic.ear/APP-INF/lib
IBM WebSphere
adobe-livecycle-websphere.ear/
-
Öffen Sie die [extracted easpi-helper-2.x.x.jar]/esapi/validation.properties-Datei und die [extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties-Datei zum Bearbeiten.
-
Stellen Sie den Wert für die folgenden Eigenschaften zu ^[\\s\\S]*$ . Beispiel: Validator. HTTPParameterName =^[\\s\\S]*$
- Validator.HTTPQueryString
- Validator.PMCallParameterName
- Validator.PMCallParameterValue
- Validator.HTTPParameterName
- Validator.HTTPParameterValue
- Validator.xssSafeString
Speichern und schließen Sie die Dateien.
-
Packen Sie die aktualisierte easpi-helper-2.x.x.jar-Datei in adobe-livecycle-<application server_name>.ear. Stellen Sie die aktualisierte adobe-livecycle-<application server_name>.ear-Datei auf dem Anwendungsserver bereit.
Starten Sie den AEM Forms-Server.