Pare o servidor AEM Forms.
O AEM 6.4 Forms introduziu verificações de segurança substanciais para impedir ataques de cross-site scripting (XSS). Essas melhorias podem bloquear algumas solicitações HTTP válidas para clientes que usam componentes personalizados em Formulários AEM. Se uma solicitação HTTP for bloqueada, a mensagem “Got Exception while Validating XSS” aparece nos logs do servidor. Por exemplo,
Got Exception while Validating XSS: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100: org.owasp.esapi.errors.ValidationException: HTTP parameter name: params[browserLocale]: Invalid input. Please conform to regex ^[a-zA-Z0-9_]{1,32}$ with a maximum length of 100
Para resolver o problema, você pode remover manualmente as verificações de segurança para permitir todas as solicitações HTTP. A remoção das verificações de segurança torna o sistema vulnerável a ataques de cross-site scripting (XSS). Recomenda-se remover as verificações de segurança apenas como uma solução temporária. Entre em contato com o suporte da Adobe para obter uma solução permanente.
Execute as etapas a seguir para remover temporariamente as verificações de segurança:
-
-
Criar um backup do arquivo [AEM-Forms-Installation-Directory] \configurationManager\export\adobe-livecycle-<application server_name>.ear.
-
Extraia o arquivo easpi-helper-2.x.x.jar do arquivo adobe-livecycle-<server_name>.ear. O local do arquivo easpi-helper-2.x.x.jar é diferente para cada servidor de aplicativo:
Servidor de aplicativo
Localização do arquivo easpi-helper-2.x.x.jar
JBoss
adobe-livecycle-jboss.ear/lib
Oracle WebLogic
adobe-livecycle-weblogic.ear/APP-INF/lib
IBM WebSphere
adobe-livecycle-websphere.ear/
-
Abra os arquivos [extracted easpi-helper-2.x.x.jar]/esapi/validation.properties and [extracted easpi-helper-2.x.x.jar]/esapi/ESAPI.properties para edição.
-
Defina o valor da propriedade das seguintes propriedades para ^[\\s\\S]*$ . Por exemplo, validador. HTTPParameterName =^[\\s\\S]*$
- Validator.HTTPQueryString
- Validator.PMCallParameterName
- Validator.PMCallParameterValue
- Validator.HTTPParameterName
- Validator.HTTPParameterValue
- Validator.xssSafeString
Salve e feche os arquivos.
-
Embale o atualizado easpi-helper-2.x.x.jar em adobe-livecycle-<application server_name>.ear. Implemente o atualizado adobe-livecycle-<application server_name>.ear no servidor de aplicativos.
Inicie o servidor de Formulários AEM.