AEM 6.4 Forms ha introducido comprobaciones de seguridad sustanciales para prevenir ataques de secuencias de comandos entre sitios (XSS). Estas mejoras pueden bloquear algunas peticiones HTTP válidas para clientes que utilizan componentes personalizados en AEM Forms. Si una solicitud HTTP está bloqueada, aparece el mensaje "Got Exception while Validating XSS " en los registros del servidor. Por ejemplo,

Got Exception while Validating XSS: Nombre del parámetro HTTP: params[browserLocale]: Entrada no válida. Por favor, cumpla con regex ^[a-zA-Z0-9_]{1,32}$ con una longitud máxima de 100: org.owasp.esapi.errors.ValidationException: Nombre del parámetro HTTP: params[browserLocale]: Entrada no válida. Por favor, cumpla con regex ^[a-zA-Z0-9_]{1,32}$ con una longitud máxima de 100

Para resolver el problema, puede quitar manualmente las comprobaciones de seguridad para permitir todas las solicitudes HTTP. La eliminación de las comprobaciones de seguridad hace que el sistema sea vulnerable a los ataques de secuencias de comandos entre sitios (XSS). Se recomienda eliminar los controles de seguridad sólo como solución temporal. Póngase en contacto con el soporte de Adobe para obtener una solución permanente.

Realice los siguientes pasos para eliminar temporalmente los controles de seguridad:

  1. Detenga el servidor de AEM Forms.  

  2. Cree una copia de seguridad del [AEM-Forms-Installation-Directory] \configurationManager\export\adobe-livecycle-<application server_name>.ear file.  

  3. Extraiga del archivo easpi-helper-2.x.x.jar el archivo adobe-livecycle-<server_name>.ear. La ubicación del archivo easpi-helper-2.x.x.x.jar es diferente para cada servidor de aplicaciones:

    Servidor de aplicaciones Ubicación del archivo easpi-helper-2.x.x.x.jar
    JBoss

    adobe-livecycle-jboss.ear/lib

    Oracle WebLogic

    adobe-livecycle-weblogic.ear/APP-INF/lib

    IBM WebSphere adobe-livecycle-websphere.ear/
  4. Abra los archivos [extracted easpi-helper-2.x.x.x.jar]/esapi/validation.properties y[extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties para editarlos.  

  5. Establezca el valor de la propiedad de las siguientes propiedades en ^[\\s\\S]*$ . Por ejemplo, Validator. HTTPParameterName =^[\\s\\S]*$

    • Validator.HTTPQueryString
    • Validator.PMCallParameterName
    • Validator.PMCallParameterValue
    • Validator.HTTPParameterName
    • Validator.HTTPParameterValue
    • Validator.xssSafeString

    Guarde y cierre el archivo.

  6. Empaquetar el easpi-helper-2.x.x.jar in adobe-livecycle-<application server_name>.ear. Desplegar el adobe-livecycle-<application server_name>.ear al servidor de aplicaciones.

    Inicie el servidor de AEM Forms.

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea