O AEM Forms bloqueia solicitações HTTP válidas

O AEM 6.4 Forms introduziu verificações de segurança substanciais para impedir ataques de cross-site scripting (XSS). Essas melhorias podem bloquear algumas solicitações HTTP válidas para clientes que usam componentes personalizados em Formulários AEM. Se uma solicitação HTTP for bloqueada, a mensagem “Got Exception while Validating XSS” aparece nos logs do servidor. Por exemplo,  

Got Exception while Validating XSS: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100: org.owasp.esapi.errors.ValidationException: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100

Para resolver o problema, você pode remover manualmente as verificações de segurança para permitir todas as solicitações HTTP. A remoção das verificações de segurança torna o sistema vulnerável a ataques de cross-site scripting (XSS). Recomenda-se remover as verificações de segurança apenas como uma solução temporária. Entre em contato com o suporte da Adobe para obter uma solução permanente.

Execute as etapas a seguir para remover temporariamente as verificações de segurança:

  1. Pare o servidor AEM Forms.  

  2. Criar um backup do arquivo [AEM-Forms-Installation-Directory] \configurationManager\export\adobe-livecycle-<application server_name>.ear.  

  3. Extraia o arquivo easpi-helper-2.x.x.jar do arquivo adobe-livecycle-<server_name>.ear. O local do arquivo easpi-helper-2.x.x.jar é diferente para cada servidor de aplicativo:

    Servidor de aplicativo

    Localização do arquivo easpi-helper-2.x.x.jar

    JBoss

    adobe-livecycle-jboss.ear/lib

    Oracle WebLogic

    adobe-livecycle-weblogic.ear/APP-INF/lib

    IBM WebSphere

    adobe-livecycle-websphere.ear/

  4. Abra os arquivos [extracted easpi-helper-2.x.x.jar]/esapi/validation.properties and [extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties para edição.  

  5. Defina o valor da propriedade das seguintes propriedades para ^[\\s\\S]*$ . Por exemplo, validador. HTTPParameterName =^[\\s\\S]*$

    • Validator.HTTPQueryString
    • Validator.PMCallParameterName
    • Validator.PMCallParameterValue
    • Validator.HTTPParameterName
    • Validator.HTTPParameterValue
    • Validator.xssSafeString

    Salve e feche os arquivos.

  6. Embale o atualizado easpi-helper-2.x.x.jar em adobe-livecycle-<application server_name>.ear. Implemente o atualizado adobe-livecycle-<application server_name>.ear no servidor de aplicativos.

    Inicie o servidor de Formulários AEM.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online