AEM 6.4のフォームはクロスサイトスクリプティング(XSS)の攻撃を回避するために、十分なセキュリティチェックが導入されています。これらの改善により、AEM フォームでカスタムコンポーネントを使用するお客様に対して、一部の有効な HTTP リクエストをブロックできます。HTTP 要求がブロックされた場合でも、Got Exception while Validating XSS のメッセージが、サーバーログに表示されます。例えば、

Got Exception while Validating XSS: HTTP parameter name: params[browserLocale]: Invalid input.regex ^[a-zA-Z0-9_]{1,32}$ の最大文字数が100であることを確認してください:org.owasp.esapi.errors.ValidationException:HTTP パラメーター名:params[browserLocale]: 無効な入力です。regex ^[a-zA-Z0-9_]{1,32}$ の最大文字数が100であることを確認してください

この問題を解決するには、セキュリティチェックを手動で削除して、すべての HTTP リクエストを許可することができます。セキュリティチェックを削除すると、cross-site scripting (XSS) の攻撃からのシステムの脆弱性が高まります。セキュリティチェックは、一時的なソリューションとしてのみ削除することをお勧めします。恒久的な解決のため、Adobe サポートにお問い合わせださい。

セキュリティチェックを一時的に解除するには、次の手順を実行します。

  1. AEM フォームサーバーを停止します。 

  2. [AEM-Forms-Installation-Directory] \configurationManager\export\adobe-livecycle-<application server_name>.ear ファイルのバックアップを作成します。 

  3. adobe-livecycle-<server_name>.ear ファイルから、easpi-helper-2.x.x.jar ファイルを抽出します。easpi-helper-2.x.x.jar ファイルの場所は、各アプリケーションサーバーによって異なります。

    アプリケーションサーバー easpi-helper-2.x.x.jar ファイルの場所
    JBoss

    adobe-livecycle-jboss.ear/lib

    Oracle WebLogic

    adobe-livecycle-weblogic.ear/APP-INF/lib

    IBM WebSphere adobe-livecycle-websphere.ear/
  4. 編集のために[extracted easpi-helper-2.x.x.jar]/esapi/validation.properties and [extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties ファイルを開きます。 

  5. 次のプロパティの値を設定します ^[\\s\\S]*$ へのプロパティ。例えば、Validator.HTTPParameterName =^[\\s\\S]*$

    • Validator.HTTPQueryString
    • Validator.PMCallParameterName
    • Validator.PMCallParameterValue
    • Validator.HTTPParameterName
    • Validator.HTTPParameterValue
    • Validator.xssSafeString

    ファイルを保存して閉じます。

  6. adobe-livecycle-<application server_name>.ear の更新済み easpi-helper-2.x.x.jar をパッケージする。アプリケーションサーバーに更新された adobe-livecycle-<application server_name>.ear をデプロイします。

    AEM Forms サーバーを起動します。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー