AEM Forms blocca le richieste HTTP valide

AEM 6.4 Forms ha introdotto controlli di sicurezza sostanziali per prevenire attacchi di cross-site scripting (XSS). Questi miglioramenti possono bloccare alcune richieste HTTP valide per i clienti che utilizzano componenti personalizzati in AEM Forms. Se una richiesta HTTP è bloccata, il messaggio “Got Exception while Validating XSS” apparirà nei log del server. Ad sempio: 

Got Exception while Validating XSS: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100: org.owasp.esapi.errors.ValidationException: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100

Per risolvere il problema, è possibile rimuovere manualmente i controlli di sicurezza per consentire tutte le richieste HTTP. La rimozione dei controlli di sicurezza rende il sistema vulnerabile agli attacchi di cross-site scripting (XSS). Si raccomanda di rimuovere i controlli di sicurezza solo come soluzione temporanea. Contatta il supporto Adobe per una soluzione permanente.

Esegui le seguenti operazioni per rimuovere temporaneamente i controlli di sicurezza:

  1. Arresta il server di AEM Forms.  

  2. Crea un backup del file .ear in \configurationManager\export\adobe-livecycle-<application server_name> [directory di installazione di AEM Forms].  

  3. Estrai il file .ear easpi-helper-2.x.x.jar file from the adobe-livecycle-<server_name>. La posizione del file easpi-helper-2.x.x.jar è diversa per ogni application server

    Server applicazioni

    Posizione del file easpi-helper-2.x.x.jar

    JBoss

    adobe-livecycle-jboss.ear/lib

    Oracle WebLogic

    adobe-livecycle-weblogic.ear/APP-INF/lib

    IBM WebSphere

    adobe-livecycle-websphere.ear/

  4. Apri e modifica i file [extracted easpi-helper-2.x.x.jar]/esapi/validation.properties and [extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties.  

  5. Imposta il valore delle seguenti proprietà su ^[\\s\\S]*$ . Per esempio, Validator. HTTPParameterName =^[\\s\\S]*$

    • Validator.HTTPQueryString
    • Validator.PMCallParameterName
    • Validator.PMCallParameterValue
    • Validator.HTTPParameterName
    • Validator.HTTPParameterValue
    • Validator.xssSafeString

    Salva e chiudi i file.

  6. Prepara il file aggiornato easpi-helper-2.x.x.jar in adobe-livecycle-<application server_name>.ear. Distribuisci l'aggiornamento adobe-livecycle-<application server_name>.ear sul server dell'applicazione.

    Avvia il server AEM Forms.

Logo Adobe

Accedi al tuo account