AEM Forms이 유효한 HTTP 요청을 차단합니다

AEM 6.4 Forms이 XSS(크로스 사이트 스크립팅) 공격을 방지하기 위해 엄격한 보안 검사를 도입했습니다. 이러한 개선 사항은 AEM Forms에서 사용자 정의 구성 요소를 사용하는 고객을 위해 일부 유효한 HTTP 요청을 차단할 수 있습니다. HTTP 요청이 차단되면 “Got Exception while Validating XSS” 메시지가 서버 로그에 표시됩니다. 예:  

Got Exception while Validating XSS: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100: org.owasp.esapi.errors.ValidationException: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100

이 문제를 해결하기 위해 모든 HTTP 요청을 허용하도록 보안 검사를 수동으로 제거할 수 있습니다. 보안 검사를 제거하면 시스템이 XSS(크로스 사이트 스크립팅) 공격에 취약해집니다. 임시 방편으로만 보안 검사를 제거하는 것이 좋습니다. 완전한 해결책은 Adobe 지원 센터에 문의하십시오.

보안 검사를 일시적으로 제거하려면 다음 단계를 수행하십시오.   

  1. AEM Forms 서버를 중지합니다.  

  2. [AEM-Forms-Installation-Directory] \configurationManager\export\adobe-livecycle-<application server_name>.ear 파일의 백업을 만듭니다.  

  3. easpi-helper-2.x.x.jar 파일을 adobe-livecycle-<server_name>.ear 파일에서 압축을 해제합니다. easpi-helper-2.x.x.jar 파일의 위치는 각 애플리케이션 서버마다 다릅니다.

    애플리케이션 서버

    easpi-helper-2.x.x.jar 파일의 위치

    JBoss

    adobe-livecycle-jboss.ear/lib

    Oracle WebLogic

    adobe-livecycle-weblogic.ear/APP-INF/lib

    IBM WebSphere

    adobe-livecycle-websphere.ear/

  4. 편집을 위해 [extracted easpi-helper-2.x.jar]/esapi/validation.properties 및 [extracted easpi-helper-2.x.jar]/esapi/ESAPI.properties 파일을 엽니다.  

  5. 다음 속성 값을 ^[\\s\\S]*$(으)로 설정합니다. 예: 유효성 검사기. HTTPParameterName =^[\\s\\S]*$

    • Validator.HTTPQueryString
    • Validator.PMCallParameterName
    • Validator.PMCallParameterValue
    • Validator.HTTPParameterName
    • Validator.HTTPParameterValue
    • Validator.xssSafeString

    파일을 저장하고 닫습니다.

  6. 업데이트된 easpi-helper-2.x.x.jaradobe-livecycle-<application server_name>.ear에 패키징합니다. 업데이트된 adobe-livecycle-<application server_name>.ear을 애플리케이션 서버에 배포합니다.

    AEM Forms 서버를 시작합니다.

Adobe 로고

내 계정 로그인