最終更新日 :
Apr 28, 2021 12:08:34 AM GMT
問題点
Oak リポジトリに直接保存されている HTML ファイルはブラウザーで開かれません。代わりに、6.1 SP2および以降のバージョンでダウンロードされます。
環境
AEM 6.x
原因
これによって、AEM 6.2 内での意図した変更になります。6.1であっても、同じ変更が Service Pack 2およびそれ以降のパッチに適用されます。
これは、Sling セキュリティ修正の一部として導入されました。
https://issues.apache.org/jira/browse/SLING-4883 - jcr: data へのコンテンツ処理フィルターの保護を拡張します
https://issues.apache.org/jira/browse/SLING-4973 - コンテンツ廃棄排他パスの追加
その他のお客様は、それをセキュリティ問題として報告しています。
- この機能を使用して悪意のあるファイルがアップロードされる可能性があることを確認しました。
- 上記の URL を使用してアップロードされたファイルにアクセスし、ファイルが実行されたことを確認します。
解決策
エンジニアリングチームは問題を修正し、この変更を実装し、デフォルトでブラウザで開く代わりにファイルをダウンロードします。
次の OSGi 設定をすることになります:
http://host:port/system/console/configMgr/org.apache.sling.security.impl.ContentDispositionFilter
チェックボックス-すべてのパスのコンテンツ配置がビヘイビア内の意図した動作の変更を有効にします。
従来の動作に戻すには:
このセキュリティ上の問題が発生しても問題ない場合は、チェックボックスを外すと、ファイルはダウンロードされずにブラウザーで直接開きます。したがって、要件を満たすことができます。
アカウントにログイン