Guide de Forms AEM 6.5
Notes de mise à jour
- Notes de mise à jour
- Récapitulatif des nouvelles fonctionnalités
- Fonctionnalités obsolètes
Prise en main
- Présentation d’AEM Forms
- Présentation de la création de formulaires adaptatifs
- Présentation des communications interactives
- Présentation de la gestion des formulaires
- Présentation du service de conversion automatisée de formulaires
- Didacticiel : Créer votre premier formulaire adaptatif
- Didacticiel : Créer votre première communication interactive
- Documents de référence AEM Forms
Installer et configurer AEM Forms
- Topologies d’architecture et de déploiement pour AEM Forms
- Choix d’un type de persistance pour l’installation d’AEM Forms
- Installer AEM Forms sur OSGi
- Installer AEM Forms on JEE
- Configurer AEM Forms
Mettre à niveau AEM Forms
- Chemins de mise à niveau disponibles
- Mettre à niveau AEM Forms sur OSGi
- Mettre à niveau AEM Forms on JEE
Gestion d’AEM Forms
- AEM Forms sur les groupes et privilèges OSGi
- Création de dossiers pour classer les formulaires
- Recherche de formulaires et de ressources
- Gestion des métadonnées de formulaire
- Téléchargement d’un modèle de formulaire XFA ou PDF
- Suppression des formulaires et des ressources associées
- Obtention de documents XDP et PDF dans AEM Forms
- Importation et exportation des actifs dans AEM Forms
- Support de nouveaux paramètres régionaux pour la localisation de formulaires adaptatifs
- Gestion des données utilisateur
- Renforcement de l’Environnement AEM Forms
Modèle de données de formulaire
- Présentation de l’intégration des données AEM Forms
- Configurer les sources de données
- Configuration de Microsoft Dynamics Odata
- Créer un modèle de données de formulaire
- Utilisation d’un modèle de données de formulaire
- Utilisation d’un modèle de données de formulaire
Formulaires adaptatifs - Création de base
- Meilleures pratiques pour travailler avec les formulaires adaptatifs
- Création d’un formulaire adaptatif
- Fragments de formulaire adaptatif
- Configuration de l’action d’envoi
- Utilisation de CAPTCHA dans les formulaires adaptifs
- Mots-clés de formulaires adaptatifs
- Tableaux dans les formulaires adaptatifs
- Enregistrement automatique d’un formulaire adaptatif
- Configuration de la page de redirection
- Création de formulaires adaptatifs accessibles
- Création de formulaires avec des sections répétables
- Incorporation d’un formulaire adaptatif ou d’une communication interactive dans une page des sites AEM
- Incorporation d’un formulaire adaptatif dans une page web externe
- Styles intégrés des composants de formulaire adaptatif
- Présentation de la séquence de formulaires en plusieurs étapes
- Fonctionnalités de disposition des formulaires adaptatifs
- Texte d’espace réservé dans AEM Forms
- Prévisualisation d’un formulaire
- Réutilisation de formulaires adaptatifs
- Composant Separator dans les formulaires adaptatifs
- Application de signatures électroniques à un formulaire à l’aide de signatures tactiles
- Raccourcis clavier AEM Forms
- Association de réviseurs d’envoi à un formulaire
- Création d’une aide contextuelle pour les champs de formulaire
- Utiliser le mode Mise en page pour redimensionner les composants
Formulaires adaptatifs - Création avancée
- Création de formulaires adaptatifs à l’aide d’un schéma JSON
- Création de formulaires adaptatifs à l’aide d’un schéma XML
- Utilisation d’Adobe Sign dans un formulaire adaptatif
- Création et utilisation des thèmes
- Éditeur de règles de formulaires adaptatifs
- API pour appeler le service de modèle de données de formulaire à partir de formulaires adaptatifs
- Envoi asynchrone de formulaires adaptatifs
- Créer un formulaire adaptatif à l’aide d’un jeu de formulaires adaptatifs
- Modèles de formulaires adaptatifs
- Expressions de formulaire adaptatif
- Générer un document d’enregistrement pour les formulaires adaptatifs
- Amélioration des performances des formulaires volumineux avec le chargement différé
- Préremplissage des champs de formulaires adaptatifs
- Utilisation d’expressions SOM dans des formulaires adaptatifs
- Ajout d’informations issues de données utilisateur aux métadonnées d’envoi de formulaire
- Prise en charge de XFA dans les formulaires adaptatifs basés sur XDP
- Modification du contenu de la page zéro avec Designer
- Autorisation d’accès à l’éditeur de règles pour des groupes d’utilisateurs sélectionnés
- Utilisation du processus de traduction AEM pour localiser les formulaires adaptatifs et le document d’enregistrement
- Automatiser les tests des formulaires adaptatifs
- Mise en forme des éléments pour les formulaires adaptatifs
- Synchronisation de formulaires adaptatifs avec des modèles de formulaire XFA
- Incorporation d’Adobe Sign à AEM Forms
- Création et gestion de révisions des actifs d’un formulaire
- Incorporation d’un formulaire adaptatif ou d’une communication interactive dans une application AEM Sites à une seule page
- Messages d’erreur de validation standard Forms adaptatif
Communications interactives
- Introduction à l’interface utilisateur de création d’une communication interactive
- Créer une communication interactive
- Utilisation de graphiques dans les communications interactives
- Textes dans les communications interactives
- Conditions dans les communications interactives
- Préparation et envoi d’une communication interactive à l’aide de l’interface utilisateur de l’agent
- Canal d’impression et canal web
- Propriétés de configuration des communications interactives
- Générer plusieurs communications interactives
- Utiliser le mode Mise en page pour redimensionner les composants
Workflows
- Processus basé sur l’utilisation de Forms sur OSGi
- Référence sur les étapes du processus basé sur l’utilisation de Forms on OSGi
- Sélection de manière dynamique d’un utilisateur ou d’un groupe pour les étapes de processus basés sur l’utilisation d’AEM Forms
- Actions et fonctionnalités des processus AEM sur OSGi et des processus AEM Forms JEE
- Lancement des API Document Services depuis un processus AEM
- Connexion aux workflows AEM Forms
- Variables dans les workflows AEM
- Partage et demande l’accès aux éléments de boîte de réception d’un utilisateur
- Configuration d’absence du bureau
Espace de travail AEM Forms
- Présentation de l’espace de travail AEM Forms
- Utilisation de l’espace de travail AEM Forms
- Architecture de l’espace de travail AEM Forms
- Fonctions de l’espace de travail AEM Forms non disponibles dans l’espace de travail Flex
- Fonctions de l’espace de travail Flex non disponibles dans l’espace de travail AEM Forms
- Interaction de Backbone
- Description des composants réutilisables
- Détails de document pour le rendu
- Intégration des composants de l’espace de travail AEM Forms dans des applications Web
- Nouveau service de rendu et d’envoi
- Présentation de la structure de dossiers
- Intégration d’applications tierces à l’espace de travail AEM Forms
- Description de l’objet JSON de l’espace de travail AEM Forms
- Introduction à la personnalisation de l’espace de travail AEM Forms
- Procédure générique de personnalisation de l’espace de travail AEM Forms
- Modification des paramètres régionaux de l’interface utilisateur de l’espace de travail AEM Forms
- Création d’un écran de connexion
- Personnalisation des boîtes de dialogue d’erreur
- Personnalisation des onglets d’une tâche
- Personnalisation de la page Détails de la tâche
- Personnalisation de la liste des instances de processus
- Personnalisation des actions de tâche
- Affichage de données supplémentaires dans la liste Tâches
- Obtention de variables de tâche dans l’URL de résumé
- Personnalisation des images utilisées dans les actions d’itinéraire
- Minimisation des fichiers JavaScript
- Personnalisation des tableaux de suivi
- Mise à jour du lien vers la documentation
- Utilisation des jeux de formulaires dans l’espace de travail AEM Forms
- API utilisées dans l’espace de travail AEM Forms
- Lancement d’un nouveau processus avec les données de processus existantes dans l’espace de travail AEM Forms
- Hébergement de deux instances d’espace de travail AEM Forms sur un serveur
- Modification des couleurs de l’interface
- Modification de la police de l’interface
- Modification du logo de l’organisation pour l’identité graphique
- Affichage d’informations dans le volet Résumé de la tâche
- Affichage de l’avatar de l’utilisateur
- Prise en main de l’espace de travail AEM Forms
- Gestion des tâches dans une hiérarchie organisationnelle à l’aide de la vue du gestionnaire
- Démarrage des processus
- Suivi des processus
- Authentification unique et gestionnaires de temporisation
- Utilisation d’un formulaire adaptatif dans Workspace HTML
- Intégration d’AEM Forms Workspace à Microsoft Office SharePoint Server
- Utilisation de listes de tâches
- Dépannage des conseils de l’espace de travail AEM Forms.
Application AEM Forms
- Présentation de l’application AEM Forms
- Configuration de l’environnement de l’application AEM Forms
- Configuration du projet Xcode et génération de l’application iOS
- Création d’AEM sécurisé forme l’application pour iOS
- Configuration du projet Visual Studio et création d’une application Windows
- Configuration du projet Android Studio et génération de l’application Android
- Générez l’application Android AEM Forms.
- Distribuer l’application AEM Forms
- Personnalisation de mouvement
- Personnalisation de l’identité graphique
- Personnalisation du thème
- Connexion à l’application AEM Forms
- Écran d’accueil
- Synchronisation de l’application
- Utilisation d’un formulaire
- Utilisation des points de départ
- Ouverture d’une tâche
- Enregistrement d’une tâche ou d’un formulaire en tant que brouillon
- Utilisation de l’enregistrement automatique dans l’application AEM Forms
- Enregistrer les formulaires sous forme de modèles
- Ajout de pièces jointes
- Utilisation en mode hors ligne
- Mise à jour des paramètres généraux
- Résolution des problèmes liés à l’application AEM Forms
Formulaires HTML5
- Présentation des formulaires HTML5
- Prise en main des formulaires HTML5
- Architecture des formulaires HTML5
- Différences de caractéristiques entre formulaires HTML5 et formulaires PDF
- Questions fréquentes (FAQ) des formulaires HTML5
- Conception de modèles de formulaires HTML5
- Recommandations relatives aux formulaires HTML5
- Conception de formulaires HTML5 accessibles
- Génération de l’aperçu HTML5 d’un formulaire XDP
- Rendu du modèle de formulaire pour des formulaires HTML5
- Activation des pièces jointes à un formulaire HTML5
- Proxy de service de formulaires HTML5
- Optimisation des formulaires HTML5
- Lecteurs d’écran pour les formulaires HTML5
- Création d’un profil personnalisé pour HTML5 forms
- Langues écrites de droite à gauche dans les formulaires HTML5
- Intégration d’un objet FormBridge à un portail personnalisé pour les formulaires HTML5
- Créer des apparences personnalisées dans les formulaires HTML5
- Modification des styles par défaut des formulaires HTML5
- Prise en charge des clauses d’image pour les formulaires HTML5
- Créer des tableaux complexes accessibles dans des formulaires HTML5
- Création de styles CSS pour des formulaires HTML5
- Personnalisation des messages d’erreur pour les formulaires HTML5
- Enregistrement d’un formulaire HTML5 en tant que brouillon
- Activation de la journalisation des formulaires au format HTML5
- Débogage des formulaires HTML5
- Prise en charge des scripts pour les formulaires HTML5
- Jeu de formulaires dans AEM Forms
Lettres et correspondances
- Présentation de Correspondence Management
- Conception de la mise en page
- Dictionnaire de données
- Fragments de document
- Créer une lettre
- Création de correspondance
- Fonctions distantes du Générateur d’expression
- Gérer les images de signature d’agent
- Post-traitement des lettres et communications interactives
- Ajout d’une action personnalisée à la vue Liste des ressources
- Ajout d’une action ou d’un bouton personnalisé à l’interface utilisateur de création de correspondance
- Ajout de propriétés personnalisées aux actifs Correspondence Management
- Personnaliser l’interface de création de correspondance
- Personnalisation de l’éditeur de texte
- Correspondence Management : dépannage
- Utiliser les API pour accéder aux instances de lettre
- Intégration de l’interface utilisateur de création de correspondance dans votre portail personnalisé
- Caractères spéciaux personnalisés dans Correspondence Management
- Filigrane personnalisé dans l’aperçu de la lettre PDF
- Configuration de la solution Correspondence Management
- Condition intégrée et répétition dans les communications interactives et les lettres
- Fragments de document
- Propriétés de configuration de Correspondence Management
Intégration de l’AEM Forms avec des solutions Experience Cloud
- Création d’expériences ciblées dans AEM Forms
- Mesure et amélioration de l’efficacité et de la conversion des formulaires
- Configuration des analyses et des rapports
- Consultation et compréhension des rapports d’analyse d’AEM Forms
- Créer et gérer des tests A/B pour les formulaires adaptatifs
Publier et traiter AEM Forms
- Présentation de la publication de formulaires sur un portail
- Exemple d’intégration d’un composant brouillons & envois à la base de données
- Configuration des services de stockage pour les brouillons et les envois
- Gestion des applications et des tâches Forms dans la boîte de réception AEM
- Dossier de contrôle dans AEM Forms
- Composant Drafts & Submissions
- Intégration du composant Link dans une page
- Publication et annulation de publication de formulaires et documents
- Affichage d’une liste des formulaires sur une page Web à l’aide d’API
- Accès et remplissage des formulaires publiés
- Envoi d’un accusé de réception d’envoi de formulaire par courrier électronique
- Création ou configuration d’un dossier de contrôle
- Utilisation des modèles de courrier électronique personnalisés dans une étape Affecter une tâche
- Utilisation de métadonnées dans une notification électronique
Portail Formulaires
- Personnalisation de modèles pour les composants Forms Portal
- Activation des composants de Forms Portal
- Création d’une page de portail de formulaires
- API pour travailler avec des formulaires envoyés sur le portail de formulaires
- Stockage personnalisé pour les composants Drafts et Submissions
Services de document
- Présentation d’AEM Document Services
- Service Forms
- Service Output
- Service ConvertPDF
- Service Barcoded Forms
- Utilisation du Service Assembler
- Utiliser HSM pour signer ou certifier des documents numériquement
- Utilisation des Services de document AEM par programmation
- Utilisation de l’API sendToPrinter
Document Security
- Offres Document Security
- Activer AEM pour rechercher des documents PDF protégés par la sécurité documentaire
- Documents PDF protégés par une stratégie Reader Extension à l’aide de la bibliothèque de protection portable
- Activer AEM pour rechercher des documents PDF protégés par la sécurité documentaire et des documents Microsoft Office
- Protection d’un document au nom d’un autre utilisateur
Concepteur Forms
- Utilisation de Designer
- Didacticiels de mise en route de Designer
- Designer – Exemples
- Concepts de base des scripts de Designer
- Designer - Guide de référence pour les scripts
- Designer – Guide de référence FormCalc
- Utilisation de la signature tactile dans les formulaires HTML5
Personnaliser AEM Forms
- Structure de l’apparence des formulaires adaptatifs et HTML5
- Création d’un modèle de formulaire adaptatif personnalisé
- Création de composants de disposition personnalisés pour les formulaires adaptatifs
- Ajout d’une action personnalisée sur des éléments de liste de formulaire
- Personnalisation de la disposition et de la position des messages d’erreur d’un formulaire adaptatif
- Création d’une action de barre d’outils personnalisée
- Personnalisation du suivi des événements de formulaire
- Création d’apparences personnalisées pour les champs de formulaire adaptatif
- Personnalisation des services de données Drafts & Submission
- Remplissage dynamique des listes déroulantes
- Création d’une action Envoyer personnalisée pour les formulaires adaptatifs
- Création d’une mise en page de barre d’outils personnalisée
- Affichage des composants en fonction du modèle utilisé
- Création de thèmes de formulaires adaptatifs personnalisés
Rapports de transactions
- Présentation des rapports sur les transactions
- Affichage et compréhension des rapports de transactions
- API facturables des rapports de transaction
- Enregistrer une transaction pour les implémentations personnalisées
Aide à l’administrateur de AEM Forms on JEE
- Prise en main
  - Paramètres généraux d’AEM Forms
  - Mise à jour du type de licence pour le déploiement
- Configuration et gestion des domaines
  - Ajout de domaines
  - Suppression d’un domaine
  - Configuration des paramètres de verrouillage des comptes
  - Modification et conversion de domaines
  - Configuration des fournisseurs d’authentification
  - Synchronisation d’annuaires
  - Configuration des annuaires
- Configuration de User Management
  - Modification de l’ordre d’évaluation pour l’authentification
  - Configuration du mot de passe de liaison LDAP
  - Configuration d’AEM forms pour la prélecture des informations de domaine
  - Configuration de l’authentification avec certificat
  - Configuration des paramètres du fournisseur de services SAML
  - Activation de l’authentification unique dans AEM forms
  - Configuration de User Management pour un serveur LDAP compatible SSL
  - Importation et exportation du fichier de configuration
  - Configuration des attributs système avancés
  - Prévention des attaques CSRF
- Configuration et organisation des utilisateurs
  - Ajout et configuration d’utilisateurs
  - Approvisionnement juste à temps
  - Création et configuration de groupes
  - Recherche d’un utilisateur ou d’un groupe
  - Création et configuration des rôles
- Connexion à un système de gestion de contenu
  - Configuration de Connector for EMC Documentum
  - Configuration de Connector for IBM FileNet
  - Configuration de Connector for IBM Content Manager
  - Configuration de Connector for Microsoft SharePoint
- Gestion des certificats et des informations d’identification
  - Ajout et suppression d’informations d’identification d’utilisateur et de mot de passe
  - Gestion des listes de révocation des certificats
  - Principes de base de la gestion des certificats et des informations d’identification
  - Gestion de certificats
  - Gestion des informations d’identification HSM
  - Gestion des informations d’identification locales
- Importation et gestion des applications et des archives
  - Modification du nombre d’éléments s’affichant dans les pages Applications et services
  - Importation et gestion des archives
  - Importation et gestion des applications
- Gestion des services
  - Configuration des paramètres du service
  - Démarrage et arrêt des services
- Gestion des points de fin
  - Ajout, activation, modification ou suppression de points de fin
  - Configuration des points de fin de courrier électronique
  - Configuration des points de fin Remoting
  - Configuration des points de fin Watched Folder
  - Configuration des points de fin TaskManager
  - Types de points de fin
- Configuration des extensions d’Acrobat Reader DC
  - Types de certificats utilisés par les extensions d’Acrobat Reader DC
  - Identification des certificats valables et des certificats expirés dans les documents PDF
  - Configuration des extensions d’Acrobat Reader DC pour la capture de données
  - Vérification de l’utilisation des informations d’identification
  - Configuration des informations d’identification à utiliser avec les extensions d’Acrobat Reader DC
  - Vérification des droits d’utilisation d’un fichier PDF
  - Activation des commentaires en ligne pour le module externe de navigation Web d’Adobe Reader
  - Configuration des délais d’expiration à utiliser avec les extensions d’Acrobat Reader DC
- Utilisation de PDF Generator
  - Introduction à l’utilisation de PDF Generator
  - Activation des conversions de fichiers multithreads
  - Configuration des paramètres Adobe PDF
  - Configuration des paramètres de protection
  - Configuration des paramètres de type de fichier
  - Importation et exportation des fichiers de configuration de PDF Generator
  - Activation de la prise en charge de PDF/A
  - Configuration d’une imprimante réseau PDFG Network Printer (Windows uniquement)
  - Configuration des polices de remplacement
  - Modification des paramètres de conversion de l’exportation au format PDF
  - Conversion de fichiers à l’aide de PDF Generator
- Configuration de SSL
  - Présentation de la configuration SSL
  - Configuration de SSL pour JBoss Application Server
  - Configuration de SSL sous Windows Vista
  - Configuration de SSL pour WebSphere Application Server
- Utilisation de Document Security
  - À propos de Document Security
  - Envoi sécurisé de gros volumes d’information
  - Configuration des options du client et du serveur
  - Gestion des comptes d’utilisateurs invités et locaux
  - Contrôle de l’accès à un document protégé par une stratégie
  - Contrôle des événements
  - Création et gestion des stratégies
  - Utilisation des pages Web de Document Security
  - Création et gestion des jeux de stratégies
  - Enregistrement en tant qu’utilisateur
- Configuration du service Forms
  - Principes de base des formulaires de configuration
  - Options de définition de l’internationalisation
  - Configuration du cache pour Forms
  - Définition des options de configuration XCI
  - Configuration de la sortie de formulaire
  - Définition des polices à incorporer
  - Configuration des emplacements pour Forms
  - Définition des paramètres de protection
  - Configuration des messages de validation
- Configuration d’Output
  - Présentation du service de sortie
  - Définition des options de configuration XCI
  - Configuration du cache pour Output
  - Définition des emplacements de fichiers pour Output
  - Rendre les polices disponibles
  - Définition des polices à incorporer
  - Définition des paramètres de protection
  - Modification du jeu de caractères
- Configuration du processus des formulaires
  - A propos de la terminologie concernant l’administration et les processus
  - Gestion de processus
  - Configuration des calendriers professionnels
  - Présentation du processus des formulaires
  - Configuration des paramètres d’absence du bureau
  - Recherche d’instances de processus
  - Configuration des paramètres du serveur
  - Utilisation d’opérations et de branches bloquées
  - Configuration des files d’attente partagées
  - Utilisation de tâches
- Configuration de Workspace
  - Présentation de l’espace de travail
  - Importation et exportation des paramètres globaux
  - Définition du message du jour
  - Personnalisation des modèles de recherche
  - Gestion des catégories affichées dans Workspace
- Health Monitor
  - Présentation de Health Monitor
  - Réglage précis des performances de Health Monitor
  - Affichage des statistiques relatives à Work Manager
  - Affichage des informations du système
  - Purge d’enregistrements de la base de données de Job Manager.
- Maintenance d’AEM forms
  - Fichiers journaux
  - Gestion des utilisateurs
  - Surveillance des déploiements d’AEM forms
  - Work Manager et le ralentissement
  - Exécution d’AEM Forms en mode de maintenance
- Maintenance de la base de données AEM Forms
  - Base de données DB2 : exécution d’un processus hebdomadaire
  - Nombre maximal de curseurs ouverts dans une base de données Oracle
  - Base de données IBM DB2 : exécution des commandes pour des opérations de maintenance standard
  - Purge des données de processus
  - Base de données SQL Server : réglage précis de la configuration
  - Conseils pour minimiser la croissance de la base de données
- Maintenance du serveur d’applications
  - Sites Web de serveurs d’applications
  - Répertoire de stockage global de documents
  - Remarques concernant l’exécution d’Administration Console
  - Amélioration des performances du serveur d’applications
  - Démarrage et arrêt de WebSphere Application Server
- Sauvegarde et récupération d’AEM Forms
  - Sauvegarde et récupération du référentiel EMC Documentum
  - Activation et désactivation du mode de sauvegarde sécurisé
  - Sauvegarde des données AEM Forms
  - Fichiers à sauvegarder et à récupérer
  - Stratégie de sauvegarde et de récupération d’AEM forms
  - Sauvegardes limitées de PDF Generator
  - Stratégies de sauvegarde pour les dossiers de contrôle
  - Récupération des données AEM Forms
  - Stratégie de sauvegarde pour les utilisateurs de Connector for EMC Documentum
  - Stratégie de sauvegarde et de restauration dans un environnement organisé en grappes
- Service d’informations système
  - Configuration du service d’informations système
  - API du service d’informations système
Rapports de workflow
- Présentation du Rapports de processus
- Prise en main du Rapports de processus
- Fonctionnement du Rapports de traitement
- Rapports prédéfinis dans le Rapports de processus
- Rapports personnalisés dans le Rapports de processus
- Rapports des Requêtes ad hoc dans le processus
- Rapports de processus de dépannage
Guides de référence pour les développeurs
- Principes de développement de base
- HTML Template Language
- Module externe AEM permettant de déboguer les formulaires adaptatifs
- Référence API Java pour AEM Forms
- Référence d’API Java d’AEM Forms on JEE
- API Form Bridge pour les formulaires HTML5
- Référence à l’API de la bibliothèque JavaScript pour les formulaires adaptatifs
- Guide de référence du service Assembler et de DDX
- Aide de Workbench
- Programmation avec AEM Forms on JEE

Prévention des attaques CSRF

Fonctionnement des attaques CSRF

Une attaque multisite par usurpation de requête ou CRSF (Cross-site request forgery) consiste à utiliser le navigateur d’un utilisateur valide pour envoyer une requête malveillante via un élément iframe, par exemple. Le navigateur envoyant les cookies sur la base de domaines, si l’utilisateur est connecté à une application, ses données peuvent être corrompues.

Imaginons, par exemple, un scénario où vous êtes connecté à Administration Console dans un navigateur. Vous recevez un message électronique contenant un lien. Vous cliquez sur le lien qui vient ouvrir un nouvel onglet dans votre navigateur. La page que vous avez ouverte contient un iFrame masqué qui envoie une requête malveillante au serveur Forms à l’aide du cookie de votre session AEM forms authentifiée. Comme User Management reçoit un cookie valide, il transmet la requête.

Référent : adresse de la page source à partir de laquelle une demande arrive. Par exemple, une page Web de site1.com contient un lien vers site2.com. En cliquant sur ce lien, une requête est envoyée à site2.com. Le référent de la requête est donc site1.com, la requête ayant été envoyée à partir d’une page provenant de site1.com.

URIs Placés sur la liste autorisée: URIs identifient les ressources du serveur Forms qui sont demandées, par exemple /adminui ou /contentspace. Certaines ressources peuvent autoriser des requêtes à entrer dans l’application à partir de sites Web externes. Ces ressources sont considérées comme des URI placés sur la liste autorisée. Le serveur Forms n’effectue jamais de vérification du référent à partir d’URI placés sur la liste autorisée.

Référent nul : lorsque vous ouvrez une nouvelle fenêtre ou un nouvel onglet du navigateur, puis que vous tapez une adresse et appuyez sur Entrée, le référent est nul. La requête est totalement nouvelle et ne provient d’aucune page Web parente ; il n’existe donc aucun référent pour la requête. La valeur d’un référent reçu par le serveur Forms peut être NULL dans plusieurs cas :

lorsqu’une requête est effectuée sur un point de fin SOAP ou REST à partir d’Acrobat ;
lorsqu’un utilisateur final effectue une requête HTTP sur un point de fin SOAP ou REST AEM Forms ;
lorsque vous ouvrez une nouvelle fenêtre de navigation et que l’URL de la page de connexion d’une application Web AEM forms est déjà saisie.

Autorisez la valeur de référent NULL sur les points de fin SOAP et REST. Autorisez également la valeur de référent NULL sur toutes les pages de connexion URI telles que /adminui et /contentspace, ainsi que leurs ressources mappées correspondantes. Par exemple, la servlet mappée pour /contentspace est /contentspace/faces/jsp/login.jsp ; sa valeur de référent doit pouvoir être NULL. Cette exception est obligatoire uniquement si vous activez le filtrage GET pour votre application Web. Vos applications peuvent indiquer s’il convient d’autoriser des référents de valeur NULL Voir "Protection contre les attaques multisites par usurpation de requête" dans Renforcement et sécurité des formulaires AEM.

Exception de référent autorisé : l’exception de référent autorisé est une sous-liste de la liste des référents autorisés, à partir de laquelle les requêtes sont bloquées. Les exceptions aux référents autorisés sont spécifiques à une application Web. Si un sous-ensemble des référents autorisés ne doit pas être autorisé à appeler une application Web particulière, vous pouvez placer sur la liste bloquée les référents au moyen d’exceptions aux référents autorisés. Les exceptions aux référents autorisés peuvent être spécifiées dans le fichier web.xml de votre application (consultez la section Protection contre les attaques multisite par usurpation de requête dans Renforcement et sécurité d’AEM Forms sur la page Aide et didacticiels).

Fonctionnement des référents autorisés

AEM forms offre une option de filtrage des référents aidant à prévenir les attaques CSRF. Le filtrage des référents fonctionne de la manière suivante :

Le serveur Forms vérifie la méthode HTTP utilisée pour l’appel :
- S’il s’agit d’une méthode POST, le serveur Forms vérifie l’en-tête référent.
- S’il s’agit d’une méthode GET, le serveur Forms ignore la vérification du référent, à moins que la variable CRSF_CHECK_GETS ne soit définie sur true. Dans ce cas, il vérifie l’en-tête du référent. La variable CSRF_CHECK_GETS peut être spécifiée dans le fichier web.xml de votre application (voir Protection contre les attaques multisites par usurpation de requête dans le Guide de renforcement et de sécurité).
Le serveur Forms vérifie si l’URI requis est placé sur la liste autorisée :
- Si l’URI est placé sur la liste autorisée, le serveur transmet la requête.
- Si l’URI requis n’est pas placé sur la liste autorisée, le serveur récupère le référent de la requête.
S’il existe un référent pour la requête, le serveur vérifie s’il s’agit d’un référent autorisé. Si le référent est autorisé, le serveur vérifie qu’il ne fait pas partie des exceptions aux référents autorisés :
- S’il s’agit d’une exception, la requête est bloquée.
- S’il ne fait pas partie des exceptions, la requête est transmise.
S’il n’existe aucun référent pour la requête, le serveur vérifie que les référents de valeur NULL sont autorisés.
- Si les référents de valeur NULL sont autorisés, la requête est transmise.
- Si ce n’est pas le cas, le serveur vérifie que l’URI requis fait partie des exceptions aux référents de valeur NULL et traite la requête en fonction.

Configuration des référents autorisés

Lorsque vous exécutez Configuration Manager, l’hôte par défaut et l’adresse IP ou le serveur Forms sont ajoutés à la liste de référents autorisés. Vous pouvez modifier cette liste dans Administration Console.

Dans Administration Console, cliquez sur Paramètres > Gestion des utilisateurs > Configuration > Configurer les URL des référents autorisés. La liste de référents autorisés s’affiche en bas de la page.
Pour ajouter un référent autorisé :
- Saisissez un nom d’hôte ou une adresse IP dans le champ Référents autorisés. Pour ajouter plusieurs référents autorisés en même temps, saisissez chaque nom d’hôte ou adresse IP dans une nouvelle ligne.
- Dans les champs Port HTTP et Port HTTPS, indiquez les ports à autoriser pour le protocole HTTP ou HTTPS ou pour les deux. Si vous laissez ces zones vides, les ports par défaut (le port 80 pour le protocole HTTP et le port 443 pour le protocole HTTPS) sont utilisés. Si vous saisissez 0 (zéro) dans les champs, tous les ports sont activés sur ce serveur. Vous pouvez également saisir un numéro de port spécifique pour activer uniquement ce port.
- Cliquez sur Ajouter.
Pour supprimer une entrée de la liste de référents autorisés, sélectionnez l’élément dans la liste puis cliquez sur Supprimer.

Si la liste de référents autorisés est vide, la fonction CSRF est désactivée et le système n’est donc plus sécurisé.
Après avoir modifié la liste de référents autorisés, redémarrez le serveur AEM forms.