- AEM 6.4 Forms指南
- 发行说明
- 入门
- 安装和配置AEM Forms
- AEM Forms的架构和部署拓扑
- 为AEM Forms安装选择持久性类型
- 在OSGi上安装AEM Forms
- 在JEE上安装AEM Forms
- JEE上AEM表单支持的平台
- 在JEE上使用JBoss Turnkey安装和部署AEM Forms
- 安装和配置AEM Forms 文档 Security服务器
- 准备安装AEM Forms(单台服务器)
- 在JEE上安装和部署Adobe Experience Manager Forms for JBoss
- 在WebLogic的JEE上安装和部署AEM Forms
- 在JEE for WebSphere上安装和部署Adobe Experience Manager Forms
- 安装AEM Forms Workbench
- 安装和配置设计器
- 准备安装AEM Forms(服务器群集)
- 在JBoss群集上的JEE上配置Adobe Experience Manager Forms
- 在WebLogic群集上的JEE上配置Adobe Experience Manager Forms
- 在WebSphere群集上的JEE上配置Adobe Experience Manager Forms
- 设定 AEM Forms
- 升级AEM Forms
- 可用的升级路径
- 在OSGi上升级AEM Forms
- 在JEE上升级AEM Forms
- 准备升级AEM Forms
- Adobe Experience Manager Forms on JEE升级核对清单和计划
- 升级到JEE上的AEM 6.4表单
- 在JEE上升级到Adobe Experience Manager Forms for JBoss
- 从LiveCycle ES4 SP1升级到JEE上的Adobe Experience Manager Forms for JBoss
- 在JEE上升级到JBoss Turnkey
- 从LiveCycle ES4 SP1升级到JEE上的Adobe Experience Manager Forms for JBoss Turnkey
- 在JEE for WebLogic上升级到Adobe Experience Manager Forms
- 从LiveCycle ES4 SP1升级到WebLogic JEE上的Adobe Experience Manager Forms
- 在JEE for WebSphere上升级到Adobe Experience Manager Forms
- 从LiveCycle ES4 SP1升级到WebSphere JEE上的Adobe Experience Manager Forms
- 管理AEM Forms
- 表单数据模型
- 自适应Forms — 基本创作
- 自适应Forms — 高级创作
- 使用JSON模式创建自适应表单
- 使用XML模式创建自适应表单
- 在自适应表单中使用Adobe Sign
- 创建和使用主题
- 自适应表单规则编辑器
- 从自适应表单调用表单数据模型服务的API
- 自适应表单的异步提交
- 使用一组自适应表单创建自适应表单
- 自适应表单模板
- 自适应表单表达式
- 为自适应表单生成记录文档
- 通过延迟加载提高大型表单的性能
- 预填自适应表单域
- 在自适应表单中使用SOM表达式
- 将用户数据中的信息添加到表单提交元数据
- 基于XDP的自适应表单中的XFA支持
- 在设计器中更改零页内容
- 向选定的用户组授予对规则编辑器的访问权限
- 使用AEM翻译工作流程本地化自适应表单和记录文档
- 自动测试自适应表单
- 自适应表单的样式构造
- 将自适应Forms与XFA表单模板同步
- 将Adobe Sign与AEM Forms集成
- 在表单中创建和管理资产的审阅
- 自适应表单的标准验证错误消息
- 交互式通信
- 工作流
- AEM Forms Workspace
- AEM Forms工作区简介
- 使用AEM Forms工作区
- AEM Forms Workspace体系结构
- AEM Forms工作区的功能在Flex工作区中不可用
- Flex工作区的功能在AEM Forms工作区中不可用
- 主干交互
- 可重用组件描述
- 呈示器的文档详细信息
- 将AEM Forms工作区组件集成到Web应用程序中
- 新的渲染和提交服务
- 了解文件夹结构
- 在AEM Forms工作区中集成第三方应用程序
- AEM Forms工作区JSON对象描述
- 自定义AEM表单工作区简介
- AEM Forms工作区自定义的一般步骤
- 更改AEM Forms工作区用户界面的区域设置
- 创建新登录屏幕
- 自定义错误对话框
- 自定义任务的选项卡
- 自定义任务详细信息页面
- 自定义进程实例列表
- 自定义任务操作
- 在ToDo列表中显示其他数据
- 在摘要URL中获取任务变量
- 自定义路由操作中使用的图像
- JavaScript文件的缩小
- 自定义跟踪表
- 更新指向文档的链接
- 在AEM Forms工作区中使用表单集
- 在AEM Forms工作区中使用的API
- 使用AEM Forms工作区中的现有流程数据启动新流程
- 在一台服务器上承载两个AEM Forms工作区实例
- 更改接口的颜色方案
- 更改界面上的字体
- 更改品牌的组织徽标
- 在“任务摘要”窗格中显示信息
- 显示用户头像
- AEM Forms工作区入门
- 使用Manager任务管理组织层次结构中的视图
- 启动进程
- 跟踪进程
- 单一登录和超时处理函数
- 在HTML工作区中使用自适应表单
- 将AEM表单工作区与Microsoft Office SharePoint Server集成
- 使用待办事项列表
- AEM Forms工作区疑难解答指南
- AEM Forms应用程序
- AEM Forms应用程序简介
- 为AEM Forms应用程序设置环境
- 设置Xcode项目并构建iOS应用程序
- 构建适用于iOS的安全AEM Forms应用程序
- 设置Visual Studio项目并构建Windows应用程序
- 设置Android studio项目并构建Android应用程序
- 构建AEM Forms Android应用程序
- 分发AEM Forms应用程序
- 手势自定义
- 品牌化自定义
- 主题自定义
- 登录AEM Forms应用程序
- 主屏幕
- 同步应用程序
- 使用表单
- 使用起点
- 打开任务
- 将任务或表单另存为草稿
- 在AEM Forms应用程序中使用自动保存
- 将表单另存为模板
- 添加附件
- 在脱机模式下工作
- 更新常规设置
- 对AEM Forms应用程序进行疑难解答
- HTML5 表单
- HTML5表单简介
- HTML5表单入门
- HTML5表单的架构
- HTML5表单与PDF forms之间的功能区别
- HTML5表单的常见问题解答(FAQ)
- 为HTML5表单设计表单模板
- HTML5表单的最佳实践
- 设计可访问的HTML5表单
- 生成XDP表单的HTML5预览
- HTML5表单的渲染表单模板
- 为HTML5表单启用附件
- HTML5表单服务代理
- 优化HTML5表单
- HTML5表单的屏幕阅读器
- 为HTML5表单创建自定义用户档案
- HTML5表单中的从右至左语言
- 将Form Bridge与HTML5表单的自定义门户集成
- 在HTML5表单中创建自定义外观
- 更改HTML5表单的默认样式
- 支持HTML5表单的Picture子句
- 在HTML5表单中创建可访问的复杂表
- 为HTML5表单创建CSS样式
- 自定义HTML5表单的错误消息
- 将HTML5表单另存为草稿
- 启用HTML5表单日志记录
- 调试HTML5表单
- HTML5表单的脚本支持
- AEM Forms中的表单集
- 字母和对应
- 将AEM Forms与Experience Cloud解决方案集成
- 发布并处理AEM Forms
- Forms Portal
- 文档服务
- Document Security
- Forms Designer
- 自定义AEM Forms
- 事务报表
- JEE上AEM Forms的管理员帮助
- 进程报告
- 开发人员参考
- 开发人员基础
- HTML 模板语言
- AEM插件调试自适应表单
- AEM Forms Java API参考
- AEM Forms on JEE Java API参考
- HTML5表单的Form Bridge API
- JavaScript库API参考,用于自适应Forms
- Assembler Service和DDX参考
- 工作台帮助
- 在JEE上使用AEM Forms进行编程
- 关于JEE的AEM Forms编程介绍
- Java API快速开始 — 代码示例
- Application Manager客户端JavaAPI快速开始(SOAP)
- Application Manager Service JavaAPI快速开始(SOAP)
- Assembler Service Java API QuickStart(SOAP)
- Acrobat Reader DC扩展服务Java API快速开始(SOAP)
- 备份和还原服务APIQ快速开始
- Barcoded Forms Service Java APIQ快速开始(SOAP)
- 组件和服务Java APIQ快速开始(SOAP)
- 转换PDF服务Java API快速入门(SOAP)
- 凭据服务Java API快速启动(SOAP)
- Distiller Service Java API QuickStart(SOAP)
- DocConverter Service Java API QuickStart(SOAP)
- 文档管理服务(已弃用)Java API快速开始(SOAP)
- 文档安全服务JavaAPI快速开始(SOAP)
- 加密服务Java API QuickStart(SOAP)
- Endpoint Registry Java API QuickStart(SOAP)
- 表单开始集成服务JavaAPI快速数据(SOAP)
- Forms Service API快速开始
- 生成PDF服务Java API快速启动(SOAP)
- 调用API快速开始
- LiveCycleProcess Java API(SOAP)快速开始
- 输出服务Java API快速开始(SOAP)
- PDF实用程序服务Java APIQ快速开始(SOAP)
- 存储库服务API快速开始
- 签名服务Java API QuickStart(SOAP)
- 任务 Manager Service Java API QuickStart(SOAP)
- 用户管理器Java API快速开始(SOAP)
- XMP实用程序服务Java APIQ快速开始(SOAP)
- 使用API在JEE上调用AEM Forms
- 使用API执行服务操作
- 使用API执行服务操作
- 渲染Forms
- 汇编PDF文档
- 以编程方式组合PDF文档
- 在文件格式和PDF之间转换
- 以编程方式反汇编PDF文档
- 汇编加密的PDF文档
- 组合多个XDP片段
- 使用Bates编号汇编文档
- 汇编非交互式PDF文档
- 使用书签组合PDF文档
- 分配使用权
- 汇编PDFPortfolio
- 计算表单数据
- 创建渲染Forms的Web 应用程序
- 使用已提交的XML数据创建PDF文档
- 使用Web服务API反汇编PDF文档
- 确定文档是否符合PDF/A规范
- 动态创建DDX文档
- 处理提交的Forms
- 优化Forms服务的性能
- 将文档传递到FormsService
- 使用可流式布局预填充Forms
- 渲染基于片段的Forms
- 按值呈现Forms
- 将Forms渲染为HTML
- 在客户端呈现Forms
- 使用自定义CSS文件渲染HTML Forms
- 使用自定义工具栏渲染HTML Forms
- 渲染交互式PDF forms
- 启用渲染权限的Forms
- 验证DDX文档
- 将PDF转换为Postscript和Image文件
- 将Postscript转换为PDF文档
- 创建文档输出流
- 数字签名和认证文档
- 加密和解密PDF文档
- 导入和导出数据
- 管理用户
- 使用AEM Forms Repository
- 使用条形码表单
- 使用凭据
- 使用PDF/A文档
- 使用PDF实用程序
- 使用XMP实用程序
- 准备AEM Forms以备份
- 以编程方式管理端点
- 以编程方式管理首选项节点
- 使用策略保护文档
- 使用Web服务API验证DDX文档
防止CSRF攻击
CSRF攻击的工作方式
跨站点请求伪造(CSRF)是一个网站漏洞,有效用户的浏览器用于发送恶意请求(可能通过iFrame)。 由于浏览器按域发送cookie,因此,如果用户当前已登录到应用程序,则用户的数据可能会受到损害。
例如,考虑您登录到浏览器中的管理控制台的情况。 您会收到一封包含链接的电子邮件。 单击链接,该链接将在浏览器中打开一个新选项卡。 您打开的页面包含一个隐藏的iFrame,它使用已验证的AEM forms会话中的cookie向表单服务器发出恶意请求。 由于用户管理收到有效的cookie,因此它会传递请求。
CSRF相关术语
Referer: 请求来自的源页面的地址。例如,site1.com上的网页包含指向site2.com的链接。 单击该链接将请求发布到site2.com。 此请求的引用者为site1.com,因为此请求来自源为site1.com的页面。
白名单URI: URI标识正在请求的表单服务器上的资源,例如,/adminui或/contentspace。某些资源可能允许从外部站点请求进入应用程序。 这些资源被视列入允许列表为已URI。 表单服务器从不从的URI执行列入允许列表引用检查。
Null引用 器:打开新的浏览器窗口或选项卡时,键入地址并按Enter,引用器为null。该请求是全新的,并非源自父网页;因此,该请求没有引证人。 表单服务器可以从以下位置接收空引用器:
- 在Acrobat的SOAP或REST端点上发出的请求
- 对AEM表单SOAP或REST端点发出HTTP请求的任何桌面客户端
- 打开新的浏览器窗口并输入任何AEM表单Web应用程序登录页的URL时
允许在SOAP和REST端点上使用空引用器。 还允许对/adminui和/contentspace等所有URI登录页及其相应映射资源使用空引用程序。 例如,/contentspace的映射servlet为/contentspace/faces/jsp/login.jsp,它应为空引用器异常。 仅当为Web应用程序启用GET过滤时,才需要此例外。 应用程序可以指定是否允许空引用器。 请参阅AEM表单的强化和安全中的“防止跨站点请求伪造攻击”。
允许的引用者 异常:允许的引用者异常是允许的引用者列表的子列表,从中阻止请求。允许引用例外是Web应用程序特有的。 如果不允许允许引用者的子集调用特定的Web应用程序,则可以通过允许的引用阻止列表者例外来引用者。 允许的引用例外在应用程序的web.xml文件中指定。 (请参阅帮助和Tutorials页面上的AEM表单的强化和安全性中的“防止跨站点请求伪造攻击”。)
允许的引用程序的工作方式
AEM表单提供引用器过滤功能,有助于防止CSRF攻击。 下面是引用筛选的工作方式:
-
表单服务器检查用于调用的HTTP方法:
- 如果是POST,表单服务器将执行引用器头检查。
- 如果是GET,则表单服务器会绕过引用器检查,除非CSRF_CHECK_GETS设置为true,在这种情况下,它将执行引用器头检查。 CSRF_CHECK_GETS在应用程序的web.xml文件中指定。 (请参阅强化和安全指南中的“防止跨站点请求伪造攻击”。)
-
表单服务器检查请求的URI是否列入允许列表被:
- 如果URI被列入允许列表,服务器将传递请求。
- 如果未请求列入允许列表的URI,则服务器检索请求的引用者。
-
如果请求中有引用者,服务器将检查它是否为允许的引用者。 如果允许,服务器将检查引用者异常:
- 如果此请求为例外,则阻止该请求。
- 如果不是例外,则会通过请求。
-
如果请求中没有引用器,服务器将检查是否允许空引用器。
- 如果允许空引用器,则会传递请求。
- 如果不允许空引用器,服务器将检查所请求的URI是否为空引用器的例外,并相应地处理该请求。
配置允许的引用者
运行Configuration Manager时,默认主机和IP地址或表单服务器将添加到允许的引用列表。 您可以在管理控制台中编辑此列表。
-
在管理控制台中,单击“设置”>“用户管理”>“配置”>“配置允许的引用者URL”。“允许的引用者”列表卡显示在页面底部。
-
要添加允许的引用者,请执行以下操作:
- 在“允许的引用者”框中键入主机名或IP地址。 要一次添加多个允许的引用者,请在新行上键入每个主机名或IP地址。
- 在“HTTP端口”和“HTTPS端口”框中,指定允许HTTP、HTTPS或同时允许HTTP和/或HTTPS的端口。 如果将这些框留空,则使用默认端口(HTTP的端口80和HTTPS的端口443)。 如果在框中输入
0(零),则该服务器上的所有端口都将启用。 您还可以输入特定端口号以仅启用该端口。 - 单击添加。
-
要从允许的引用列表中删除条目,请从列表中选择该项,然后单击删除。
如果允许的引用列表为空,则CSRF功能将停止工作,并且系统将变得不安全。
-
更改允许的引用列表后,重新启动AEM forms服务器。
Resources on adobe.com
Resources
Adobe Account
Change region
Copyright © 2021 Adobe. All Rights Reserved.
