AEM Forms blockiert gültige HTTP-Anforderungen

AEM 6.4 Forms hat beträchtliche Sicherheitsprüfungen eingeführt, um seitenübergreifende Skriptattacken (XSS) zu vermeiden. Diese Verbesserungen können einige gültige HTTP-Anforderungen für Kunden blockieren, die benutzerdefinierte Komponenten in AEM Forms verwenden. Wenn eine HTTP-Anforderung blockiert wird, erscheint die „Got Exception while Validating XSS“-Nachricht in den Serverprotokollen. Beispiel:

Got Exception while Validating XSS: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100: org.owasp.esapi.errors.ValidationException: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100

Um das Problem zu beheben, können Sie die Sicherheitsprüfungen manuell entfernen, um alle HTTP-Anforderungen zuzulassen. Durch das Entfernen der Sicherheitsprüfungen ist das System anfällig für seitenübergreifende Skriptattacken (XSS). Es wird empfohlen, die Sicherheitsprüfungen nur als temporäre Lösung zu entfernen. Wenden Sie sich für eine dauerhafte Lösung an Adobe Support.

Führen Sie die folgenden Schritte aus, um vorübergehend Sicherheitsprüfungen zu entfernen:

  1. Beenden Sie den AEM Forms-Server.  

  2. Erstellen Sie eine Sicherung der [AEM-Forms-Installationsverzeichnis] \configurationManager\export\adobe-livecycle-<application server_name>.ear-Datei.  

  3. Extrahieren Sie die easpi-helper-2.x.x.jar-Datei aus der adobe-livecycle-<server_name>.ear-Datei. Der Speicherort der easpi-helper-2.x.x.jar-Datei ist für alle Anwendungsserver anders:

    Anwendungs-Server

    Speicherort der Datei „easpi-helper-2.x.x.jar“

    JBoss

    adobe-livecycle-jboss.ear/lib

    Oracle WebLogic

    adobe-livecycle-weblogic.ear/APP-INF/lib

    IBM WebSphere

    adobe-livecycle-websphere.ear/

  4. Öffen Sie die [extracted easpi-helper-2.x.x.jar]/esapi/validation.properties-Datei und die [extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties-Datei zum Bearbeiten.  

  5. Stellen Sie den Wert für die folgenden Eigenschaften zu ^[\\s\\S]*$ . Beispiel: Validator. HTTPParameterName =^[\\s\\S]*$

    • Validator.HTTPQueryString
    • Validator.PMCallParameterName
    • Validator.PMCallParameterValue
    • Validator.HTTPParameterName
    • Validator.HTTPParameterValue
    • Validator.xssSafeString

    Speichern und schließen Sie die Dateien.

  6. Packen Sie die aktualisierte easpi-helper-2.x.x.jar-Datei in adobe-livecycle-<application server_name>.ear. Stellen Sie die aktualisierte adobe-livecycle-<application server_name>.ear-Datei auf dem Anwendungsserver bereit.

    Starten Sie den AEM Forms-Server.

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online