- 6AEM.5Forms指南
- 發行說明
- 快速入門
- 安裝和配置AEM Forms
- 用於AEM Forms的體系結構和部署拓撲
- 為AEM Forms安裝選擇持久性類型
- 在OSGi上安裝AEM Forms
- 在JEE上安裝AEM Forms
- JEE上支援AEM的表單平台
- 使用JBoss Tunky在JEE上安裝和部署AEM Forms
- 安裝和配置AEM Forms文檔安全伺服器
- 準備安裝AEM Forms(單伺服器)
- 在JEE上安裝和部署JBoss的Adobe Experience Manager Forms
- 在JEE上安裝和部署WebSphere的Adobe Experience Manager表單
- 在用於WebLogic的JEE上安裝和部署AEM Forms
- 安裝AEM Forms工作台
- 安裝及設定 Designer
- 準備安裝AEM Forms(伺服器群集)
- 在JBoss群集上的JEE上配置Adobe Experience Manager Forms
- 在WebSphere群集上的JEE上配置Adobe Experience Manager Forms
- 在WebLogic群集上的JEE上配置Adobe Experience Manager Forms
- 設定 AEM Forms
- 升級AEM Forms
- 管理AEM Forms
- 表單資料模型
- 自適應Forms — 基本創作
- 自適應Forms — 高級創作
- 使用JSON架構建立自適應表單
- 使用XML架構建立自適應表單
- 以自適應形式使用Adobe Sign
- 建立和使用主題
- 自適應表單規則編輯器
- 從自適應表單調用表單資料模型服務的API
- 自適應表單的非同步提交
- 使用一組自適應表單建立自適應表單
- 自適應表單模板
- 自適應表單表達式
- 為自適應表單生成記錄文檔
- 透過延遲載入改善大型表單的效能
- 預填充自適應表單域
- 在自適應形式中使用SOM表達式
- 從用戶資料添加資訊到表單提交元資料
- 基於XDP的自適應形式中的XFA支援
- 將規則編輯器存取權授予給所選的使用者群組
- 使用AEM翻譯工作流本地化記錄的自適應表單和文檔
- 自動測試自適應表單
- 自適應表單的樣式構造
- 將自適應Forms與XFA表單模板同步
- 整合Adobe Sign與AEM Forms
- 建立和管理表單中資產的審閱
- 在AEM Sites單頁應用中嵌入自適應表單或交互通信
- 標準驗證錯誤消息自適應Forms
- 互動式通訊
- 工作流程
- AEM Forms工作區
- AEM Forms工作區簡介
- 使用AEM Forms工作區
- AEM Forms工作區體系結構
- AEM Forms工作區功能在Flex工作區中不可用
- Flex工作區功能在AEM Forms工作區中不可用
- 骨幹交互
- 可重用元件的說明
- 呈現器的文檔詳細資訊
- 在Web應用程式中整合AEM Forms工作區元件
- 新建呈現和提交服務
- 瞭解資料夾結構
- 在AEM Forms工作區中整合第三方應用程式
- AEM Forms工作區JSON對象說明
- 自定義表單工AEM作區簡介
- AEM Forms工作區定製的一般步驟
- 更改AEM Forms工作區用戶介面的區域設定
- 建立新登錄螢幕
- 自定義錯誤對話框
- 自定義任務的頁籤
- 自定義任務詳細資訊頁
- 自定義進程實例清單
- 自定義任務操作
- 在ToDo清單中顯示其他資料
- 獲取摘要URL中的任務變數
- 自定義路由操作中使用的影像
- JavaScript檔案的精簡
- 自定義跟蹤表
- 更新指向文檔的連結
- 在AEM Forms工作區中使用Formset
- 在AEM Forms工作區中使用的API
- 利用AEM Forms工作區的現有流程資料啟動新流程
- 在一台伺服器上托管兩個AEM Forms工作區實例
- 更改介面的顏色方案
- 更改介面上的字型
- 更改品牌標識
- 在「任務摘要」窗格中顯示資訊
- 顯示用戶虛擬形象
- AEM Forms工作區入門
- 使用「經理視圖」管理組織層次結構中的任務
- 啟動進程
- 跟蹤進程
- 單一登錄和超時處理程式
- 在HTML工作區中使用自適應窗體
- 將表AEM單工作區與MicrosoftOfficeSharePoint伺服器整合
- 使用待辦事項清單
- AEM Forms工作區故障排除指南
- AEM Forms應用
- AEM Forms應用簡介
- 為AEM Forms應用設定環境
- 設定Xcode項目並生成iOS應用
- 為iOS打造安全的AEM Forms應用
- 設定Visual Studio項目並生成Windows應用
- 設定Android Studio項目並構建Android應用
- 構建AEM FormsAndroid應用
- 分發AEM Forms應用
- 手勢自定義
- 品牌自訂
- 主題自定義
- 登錄到AEM Forms應用
- 主螢幕
- 正在同步應用
- 使用窗體
- 使用起點
- 開啟任務
- 將任務或表單另存為草稿
- 在AEM Forms應用中使用自動保存
- 將表單另存為模板
- 添加附件
- 在離線模式下工作
- 更新常規設定
- 排除AEM Forms應用的故障
- HTML5 表單
- HTML5表格簡介
- HTML5表單入門
- HTML5形式
- HTML5形式與PDF forms的特徵區分
- HTML5表單的常見問題(FAQ)
- 為HTML5表單設計表單模板
- HTML5表單的最佳做法
- 設計可訪問的HTML5表單
- 生成XDP表單的HTML5預覽
- 用於HTML5個表單的呈現表單模板
- 啟用HTML5窗體的附件
- HTML5表單服務代理
- 優化HTML5窗體
- HTML5窗體的螢幕閱讀器
- 為HTML5窗體建立自定義配置檔案
- 從右到左的HTML語
- 將Form Bridge與自定義門戶整合,用於HTML5個表單
- 在HTML5窗體中建立自定義外觀
- 更改HTML5窗體的預設樣式
- 對HTML5窗體的Picture子句支援
- 在HTML5窗體中建立可訪問的複雜表
- 為HTML5窗體建立CSS樣式
- 自定義HTML5表單的錯誤消息
- 將HTML5窗體另存為草稿
- 啟用HTML5窗體的日誌記錄
- 調試HTML5窗體
- 對HTML5表單的指令碼支援
- AEM Forms背景
- 信函與書信
- 將AEM Forms與Experience Cloud解決方案整合
- 發佈和處理AEM Forms
- 表單入口網站
- 文件服務
- Document Security
- Forms Designer
- 自定義AEM Forms
- 事務處理報表
- JEE上AEM Forms的管理員幫助
- 程序報告
- 開發人員參考
- 開發人員基礎知識
- HTML 範本語言
- AEM調試自適應表單的插件
- AEM FormsJava API參考
- AEM FormsJEE Java API參考
- 用於HTML5個表單的表單橋API
- 用於Adaptive Forms的JavaScript庫API參考
- 匯編程式服務和DDX參考
- 工作台幫助
- 與AEM Forms就JEE進行方案編製
- 與AEM Forms就JEE進行方案擬訂
- 為AEM Forms開發SPI
- Java API快速入門 — 代碼示例
- Application Manager客戶端JavaAPI快速啟動(SOAP)
- Application Manager服務JavaAPI快速啟動(SOAP)
- 匯編程式服務Java API QuickStart(SOAP)
- Acrobat Reader DC擴展服務Java API快速啟動(SOAP)
- 備份和恢復服務APIQuick啟動
- 條形碼Forms服務Java APIQuick Start(SOAP)
- 元件和服務Java APIQuick Start(SOAP)
- 轉換PDF服務Java API QuickStart(SOAP)
- 憑據服務Java API QuickStart(SOAP)
- Distiller服務Java API QuickStart(SOAP)
- DocConverter服務Java API QuickStart(SOAP)
- 文檔管理服務(已棄用)Java API快速啟動(SOAP)
- 文檔安全服務JavaAPI快速啟動(SOAP)
- 加密服務Java API QuickStart(SOAP)
- 終結點註冊表Java API QuickStart(SOAP)
- 表單資料整合服務JavaAPI快速啟動(SOAP)
- Forms服務API快速啟動
- 生成PDF服務Java API QuickStart(SOAP)
- 調用API快速啟動
- LiveCycleProcess Java API(SOAP)快速啟動
- 輸出服務Java API快速啟動(SOAP)
- PDF實用程式服務Java APIQuick啟動(SOAP)
- 儲存庫服務API快速啟動
- 簽名服務Java API QuickStart(SOAP)
- 任務管理器服務Java API QuickStart(SOAP)
- 用戶管理器Java API快速啟動(SOAP)
- 實XMP用程式服務Java APIQuick Start(SOAP)
- 使用API調用JEE上的AEM Forms
- 使用API執行服務操作
- 使用API執行服務操作
- 渲染Forms
- 組裝PDF文檔
- 以寫程式方式裝配PDF文檔
- 在檔案格式和PDF之間轉換
- 以寫程式方式分解PDF文檔
- 組裝加密的PDF文檔
- 組裝多個XDP片段
- 使用Bates編號組合文檔
- 匯編非互動式PDF文檔
- 使用書籤組裝PDF文檔
- 分配使用權限
- 組裝PDFPortfolio
- 計算表單資料
- 建立呈現Forms的Web應用程式
- 使用SubmittedXML資料建立PDF文檔
- 使用Web服務API拆解PDF文檔
- 確定文檔是否符合PDF/A
- 動態建立DDX文檔
- 處理已提交的Forms
- 優化Forms服務的效能
- 將文檔傳遞到FormsService
- 用可流式佈局預填充Forms
- 基於片段呈現Forms
- 按價值呈現Forms
- 讓Forms成為HTML
- 在客戶端呈現Forms
- 使用自定義CSS檔案呈現HTMLForms
- 使用CustomToolbars呈現HTMLForms
- 呈現互動式PDF forms
- 啟用版權的呈現Forms
- 驗證DDX文檔
- 將PDF轉換為Postscript和Image檔案
- 將Postscript轉換為PDF文檔
- 建立文檔輸出流
- 數字簽名和驗證文檔
- 加密和解密PDF文檔
- 導入和導出資料
- 管理用戶
- 使用AEM Forms儲存庫
- 使用條形碼表單
- 使用憑據
- 使用PDF/A文檔
- 使用PDF實用程式
- 使用實XMP用程式
- 準備AEM Forms備份
- 以寫程式方式管理端點
- 以寫程式方式管理首選項節點
- 使用策略保護文檔
- 使用Web服務API驗證DDX文檔
- 疑難排解
- 舊文檔
防止CSRF攻擊
CSRF攻擊如何運作
跨網站請求偽造(CSRF)是一個網站漏洞,使用有效使用者的瀏覽器來傳送惡意請求(可能是透過iFrame)。 由於瀏覽器會依網域傳送Cookie,若使用者目前已登入應用程式,則使用者的資料可能會受到損害。
例如,假設您登入瀏覽器的管理控制台。 您會收到包含連結的電子郵件訊息。 按一下連結,即會在瀏覽器中開啟新索引標籤。 您開啟的頁面包含隱藏的iFrame,該iFrame會使用已驗證AEM表單工作階段的Cookie,向表單伺服器提出惡意請求。 由於使用者管理會收到有效的Cookie,因此會傳遞請求。
CSRF相關詞語
Referer: 要求的來源頁面位址。例如,site1.com上的網頁包含site2.com的連結。 按一下連結會向site2.com發佈請求。 此請求的引用者為site1.com,因為請求來自源為site1.com的頁面。
允許列出的URI: URI標識正在請求的表單伺服器上的資源,例如/adminui或/contentspace。某些資源可能允許請求從外部站點輸入應用程式。 這些資源被視為允許列出的URI。 表單伺服器從未從允許列出的URI執行反向連結檢查。
Null反向連結: 當您開啟新的瀏覽器視窗或標籤,然後輸入地址並按Enter鍵時,反向連結為null。此要求為全新請求,並非源自上層網頁;因此,請求沒有反向連結。 表單伺服器可接收來自以下網址的空反向連結:
- 在來自Acrobat的SOAP或REST端點上提出的請求
- 在AEM表單SOAP或REST端點上提出HTTP要求的任何案頭用戶端
- 開啟新瀏覽器視窗且輸入任何AEM表單網頁應用程式登入頁面的URL時
在SOAP和REST端點上允許空引用。 還允許在所有URI登入頁面(如/adminui和/contentspace)及其對應的映射資源上使用null引用。 例如,/contentspace的映射servlet為/contentspace/faces/jsp/login.jsp,這應為Null引用者例外。 只有當您為Web應用程式啟用GET篩選時,才需要此例外。 您的應用程式可以指定是否允許空引用。 請參閱Harding and Security for AEM forms中的「防止跨網站請求偽造攻擊」。
允許的反向連結例外: 允許的反向連結例外是允許的反向連結清單的子清單,從中會封鎖要求。允許的引用異常對Web應用程式是特定的。 如果不允許允許的引用的子集調用特定的Web應用程式,則可以通過允許的引用異常來阻止引用。 允許的引用異常在應用程式的web.xml檔案中指定。 (請參閱「說明和Tutorials」頁面上AEM表單的強化與安全性中的「防止跨網站請求偽造攻擊」)。
允許的反向連結如何運作
AEM forms提供反向連結篩選功能,可協助防止CSRF攻擊。 以下是反向連結篩選的運作方式:
-
表單伺服器會檢查用於呼叫的HTTP方法:
- 如果是POST,表單伺服器會執行反向連結標題檢查。
- 如果為GET,則表單伺服器會繞過引用檢查,除非將CSRF_CHECK_GETS設定為true,否則它將執行引用頭檢查。 CSRF_CHECK_GETS在應用程式的web.xml檔案中指定。 (請參閱強化與安全指南中的「防止跨網站請求偽造攻擊」。)
-
表單伺服器會檢查請求的URI是否允許列出:
- 如果允許列出URI,則伺服器會傳遞請求。
- 如果未允許列出請求的URI,則伺服器將檢索請求的引用。
-
如果請求中有反向連結,則伺服器會檢查其是否為允許的反向連結。 如果允許,伺服器會檢查是否有反向連結例外狀況:
- 如果是例外,則會封鎖要求。
- 如果不是例外,則會傳送要求。
-
如果請求中沒有反向連結,則伺服器會檢查是否允許空的反向連結。
- 如果允許空的引用,則會傳遞請求。
- 如果不允許空引用,則伺服器將檢查所請求的URI是否為空引用的例外,並相應地處理該請求。
配置允許的引用
當您運行Configuration Manager時,預設主機和IP地址或表單伺服器將添加到「允許的引用」清單中。 您可以在管理控制台中編輯此清單。
-
在管理控制台中,按一下「設定>使用者管理>設定>設定允許的反向連結URL」 。「允許的反向連結」(Allowed Referer)清單出現在頁面底部。
-
若要新增允許的反向連結:
- 在「允許的引用」框中鍵入主機名或IP地址。 若要一次新增多個允許的反向連結,請在新的一行上輸入每個主機名稱或IP位址。
- 在「HTTP埠」和「HTTPS埠」框中,指定允許HTTP、HTTPS或兩者的埠。 如果這些框為空,則使用預設埠(HTTP為埠80,HTTPS為埠443)。 如果在框中輸入
0(零),則該伺服器上的所有埠都將啟用。 您也可以輸入特定的埠號,以僅啟用該埠。 - 按一下「新增」。
-
要從「允許的引用」清單中刪除條目,請從清單中選擇項,然後按一下「刪除」。
如果「允許的引用清單」為空,CSRF功能將停止工作,系統將變得不安全。
-
變更允許的反向連結清單後,請重新啟動AEM表單伺服器。
