Arrêtez le serveur AEM Forms.
Dernière mise à jour le
AEM 6.4 Forms a introduit des contrôles de sécurité importants pour empêcher les attaques par les scripts (XSS). Ces améliorations peuvent bloquer certaines requêtes HTTP valides pour les utilisateurs utilisant des composants personnalisés dans AEM Forms. Si une requête http est bloquée, le message « Got Exception while Validating XSS » apparaît dans les journaux du serveur. Par exemple,
Got Exception while Validating XSS: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100: org.owasp.esapi.errors.ValidationException: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100
Pour résoudre le problème, vous pouvez supprimer manuellement les vérifications de sécurité afin d’autoriser toutes les requêtes HTTP. La suppression des vérifications de sécurité rend le système vulnérable aux attaques multi-site par scripts (XSS). Il est recommandé de supprimer seulement temporairement les vérifications de sécurité. Contactez le support technique d’Adobe pour une solution permanente.
Procédez comme suit pour supprimer temporairement les vérifications de sécurité :
-
-
Créer une sauvegarde du fichier [AEM-Forms-Installation-Directory] \configurationManager\export\adobe-livecycle-<application server_name>.ear.
-
Extrayez le fichier easpi-helper-2.x.x.jar dans le dossier adobe-livecycle-<server_name>.ear. L’emplacement du fichier easpi-helper-2.x.x.jar est différent pour chaque serveur d’application :
Serveur d’application
Emplacement du fichier easpi-helper-2.x.x.jar
JBoss
adobe-livecycle-jboss.ear/lib
Oracle WebLogic
adobe-livecycle-weblogic.ear/APP-INF/lib
IBM WebSphere
adobe-livecycle-websphere.ear/
-
Ouvrez les fichiers [easpi-helper-2.x.x.jar les fichiers] /esapi/validation.properties et [extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties pour les modifier.
-
Définissez la valeur des propriétés suivantes property to^[\\s\\S]*$ . Par exemple, programme de validation. HTTPParameterName =^[\\s\\S]*$
- Validator.HTTPQueryString
- Validator.PMCallParameterName
- Validator.PMCallParameterValue
- Validator.HTTPParameterName
- Validator.HTTPParameterValue
- Validator.xssSafeString
Sauvegardez et fermez les fichiers.
-
Empaquetez le fichier easpi-helper-2.x.x.jar mis à jour dans adobe-livecycle-<application server_name>.ear. Déployez le fichier adobe-livecycle-<application server_name>.ear mis à jour dans le serveur d’applications.
Démarrez le serveur AEM Forms.
Accéder à votre compte