Detenga el servidor de AEM Forms.
AEM 6.4 Forms ha introducido comprobaciones de seguridad sustanciales para prevenir ataques de secuencias de comandos entre sitios (XSS). Estas mejoras pueden bloquear algunas peticiones HTTP válidas para clientes que utilizan componentes personalizados en AEM Forms. Si una solicitud HTTP está bloqueada, aparece el mensaje “Got Exception while Validating XSS” en los registros del servidor. Por ejemplo,
Got Exception while Validating XSS: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100: org.owasp.esapi.errors.ValidationException: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100
Para resolver el problema, puede quitar manualmente las comprobaciones de seguridad para permitir todas las solicitudes HTTP. La eliminación de las comprobaciones de seguridad hace que el sistema sea vulnerable a los ataques de secuencias de comandos entre sitios (XSS). Se recomienda eliminar los controles de seguridad sólo como solución temporal. Póngase en contacto con el soporte de Adobe para obtener una solución permanente.
Realice los siguientes pasos para eliminar temporalmente los controles de seguridad:
-
-
Cree una copia de seguridad del [AEM-Forms-Installation-Directory] \configurationManager\export\adobe-livecycle-<application server_name>.ear file.
-
Extraiga del archivo easpi-helper-2.x.x.jar el archivo adobe-livecycle-<server_name>.ear. La ubicación del archivo easpi-helper-2.x.x.x.jar es diferente para cada servidor de aplicaciones:
Servidor de aplicaciones
Ubicación del archivo easpi-helper-2.x.x.x.jar
JBoss
adobe-livecycle-jboss.ear/lib
Oracle WebLogic
adobe-livecycle-weblogic.ear/APP-INF/lib
IBM WebSphere
adobe-livecycle-websphere.ear/
-
Abra los archivos [extracted easpi-helper-2.x.x.x.jar]/esapi/validation.properties y [extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties para editarlos.
-
Establezca el valor de la propiedad de las siguientes propiedades en ^[\\s\\S]*$ . Por ejemplo, Validator. HTTPParameterName =^[\\s\\S]*$
- Validator.HTTPQueryString
- Validator.PMCallParameterName
- Validator.PMCallParameterValue
- Validator.HTTPParameterName
- Validator.HTTPParameterValue
- Validator.xssSafeString
Guarde y cierre el archivo.
-
Empaquetar el easpi-helper-2.x.x.jar in adobe-livecycle-<application server_name>.ear. Desplegar el adobe-livecycle-<application server_name>.ear al servidor de aplicaciones.
Inicie el servidor de AEM Forms.