Los AEM Forms bloquean las solicitudes HTTP válidas

AEM 6.4 Forms ha introducido comprobaciones de seguridad sustanciales para prevenir ataques de secuencias de comandos entre sitios (XSS). Estas mejoras pueden bloquear algunas peticiones HTTP válidas para clientes que utilizan componentes personalizados en AEM Forms. Si una solicitud HTTP está bloqueada, aparece el mensaje “Got Exception while Validating XSS” en los registros del servidor. Por ejemplo,  

Got Exception while Validating XSS: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100: org.owasp.esapi.errors.ValidationException: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100

Para resolver el problema, puede quitar manualmente las comprobaciones de seguridad para permitir todas las solicitudes HTTP. La eliminación de las comprobaciones de seguridad hace que el sistema sea vulnerable a los ataques de secuencias de comandos entre sitios (XSS). Se recomienda eliminar los controles de seguridad sólo como solución temporal. Póngase en contacto con el soporte de Adobe para obtener una solución permanente.

Realice los siguientes pasos para eliminar temporalmente los controles de seguridad:

  1. Detenga el servidor de AEM Forms.  

  2. Cree una copia de seguridad del [AEM-Forms-Installation-Directory] \configurationManager\export\adobe-livecycle-<application server_name>.ear file.  

  3. Extraiga del archivo easpi-helper-2.x.x.jar el archivo adobe-livecycle-<server_name>.ear. La ubicación del archivo easpi-helper-2.x.x.x.jar es diferente para cada servidor de aplicaciones:

    Servidor de aplicaciones

    Ubicación del archivo easpi-helper-2.x.x.x.jar

    JBoss

    adobe-livecycle-jboss.ear/lib

    Oracle WebLogic

    adobe-livecycle-weblogic.ear/APP-INF/lib

    IBM WebSphere

    adobe-livecycle-websphere.ear/

  4. Abra los archivos [extracted easpi-helper-2.x.x.x.jar]/esapi/validation.properties y [extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties para editarlos.  

  5. Establezca el valor de la propiedad de las siguientes propiedades en ^[\\s\\S]*$ . Por ejemplo, Validator. HTTPParameterName =^[\\s\\S]*$

    • Validator.HTTPQueryString
    • Validator.PMCallParameterName
    • Validator.PMCallParameterValue
    • Validator.HTTPParameterName
    • Validator.HTTPParameterValue
    • Validator.xssSafeString

    Guarde y cierre el archivo.

  6. Empaquetar el easpi-helper-2.x.x.jar in adobe-livecycle-<application server_name>.ear. Desplegar el adobe-livecycle-<application server_name>.ear al servidor de aplicaciones.

    Inicie el servidor de AEM Forms.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?