問題点

Oak リポジトリに直接保存されている HTML ファイルはブラウザーで開かれません。代わりに、6.1 SP2および以降のバージョンでダウンロードされます。

環境

AEM 6.x

原因

これによって、AEM 6.2 内での意図した変更になります。6.1であっても、同じ変更が Service Pack 2およびそれ以降のパッチに適用されます。 

これは、Sling セキュリティ修正の一部として導入されました。

https://issues.apache.org/jira/browse/SLING-4883 - jcr: data へのコンテンツ処理フィルターの保護を拡張します

https://issues.apache.org/jira/browse/SLING-4973 - コンテンツ廃棄排他パスの追加

 

その他のお客様は、それをセキュリティ問題として報告しています。 

  1. この機能を使用して悪意のあるファイルがアップロードされる可能性があることを確認しました。
  2. 上記の URL を使用してアップロードされたファイルにアクセスし、ファイルが実行されたことを確認します。

解決策

エンジニアリングチームは問題を修正し、この変更を実装し、デフォルトでブラウザで開く代わりにファイルをダウンロードします。

次の OSGi 設定をすることになります:

http://host:port/system/console/configMgr/org.apache.sling.security.impl.ContentDispositionFilter

チェックボックス-すべてのパスのコンテンツ配置がビヘイビア内の意図した動作の変更を有効にします。

従来の動作に戻すには:

このセキュリティ上の問題が発生しても問題ない場合は、チェックボックスを外すと、ファイルはダウンロードされずにブラウザーで直接開きます。したがって、要件を満たすことができます。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー