In CRX gespeicherte HTML-Datei wird nicht im Browser geöffnet, sondern heruntergeladen
Eine direkt im Oak-Repository gespeicherte HTML-Datei wird nicht im Browser geöffnet. Stattdessen wird es in 6.1 SP2 und höheren Versionen heruntergeladen.
Beschreibung description
Umgebung
Adobe Experience Manager 6.x (AEM 6.x)
Problem/Symptome
Eine direkt im Oak-Repository gespeicherte HTML-Datei wird nicht im Browser geöffnet. Stattdessen wird es in 6.1 SP2 und höheren Versionen heruntergeladen.
Ursache
Dies ist eine beabsichtigte Änderung in AEM 6.2.
Selbst für 6.1 gilt dieselbe Änderung für Service Pack 2 und neuere Patches.
Es wurde als Teil des Sling Security Fix eingeführt.
https://issues.apache.org/jira/browse/SLING-4883 - Erweitern des Schutzes vor Content-Disposition-Filtern auf JCR-Daten:
https://issues.apache.org/jira/browse/SLING-4973 - Ausgeschlossene Pfade für Content-Disposition hinzufügen
Dieses Problem wurde manchmal als Sicherheitsproblem gemeldet.
- Es wurde festgestellt, dass bösartige Dateien möglicherweise mithilfe der -Funktion hochgeladen werden können.
- Greifen Sie über die oben genannte URL auf die hochgeladene Datei zu und überprüfen Sie, ob die Datei ausgeführt wird.
Auflösung resolution
Das Engineering-Team hat das Problem behoben und diese Änderung implementiert. Standardmäßig wird die Datei heruntergeladen, anstatt im Browser zu öffnen.
Sie wird durch die folgende OSGi-Konfiguration bereitgestellt:
http://host:port/system/console/configMgr/org.apache.sling.security.impl.ContentDispositionFilter
Das Kontrollkästchen Inhaltsdisposition aktivieren für alle Pfade verursacht diese beabsichtigte Verhaltensänderung.
So kehren Sie zum alten Verhalten zurück:
Wenn man in Ordnung ist, um dieses Sicherheitsproblem zu tragen, kann man das Kontrollkästchen deaktivieren und die Datei wird direkt im Browser geöffnet anstatt heruntergeladen zu werden. Daher Ihre Anforderungen erfüllen.