- AEM 6.5表單指南
- 發行說明
- 快速入門
- 安裝和設定AEM Forms
- AEM Forms的架構和部署拓撲
- 選擇AEM Forms安裝的永續性類型
- 在OSGi上安裝AEM Forms
- 在JEE上安裝AEM Forms
- JEE上AEM表單的支援平台
- 使用JBoss統包功能,在JEE上安裝和部署AEM Forms
- 安裝和設定AEM Forms Document Security伺服器
- 準備安裝AEM Forms單一伺服器
- 在JEE for JBoss上安裝和部署AEM Forms
- 在JEE for WebSphere上安裝和部署AEM Forms
- 在JEE for WebLogic上安裝和部署AEM Forms
- 安裝AEM Forms Workbench
- 安裝和配置設計器
- 準備安裝AEM Forms伺服器叢集
- 在JBoss叢集的JEE上設定AEM Forms
- 在WebSphere叢集的JEE上設定AEM Forms
- 在WebLogic叢集的JEE上設定AEM Forms
- 設定 AEM Forms
- 升級AEM Forms
- 管理AEM Forms
- 表單資料模型
- 最適化表單——基本製作
- 使用最適化表單的最佳範例
- 建立最適化表單
- 最適化表單片段
- 設定「提交」動作
- 在最適化表單中使用CAPTCHA
- 最適化表單關鍵字
- 最適化表格
- 自動儲存最適化表單
- 設定重新導向頁面
- 建立可存取的調適性表單
- 使用可重複的區段建立表單
- 在AEM網站頁面中內嵌最適化表單或互動式通訊
- 在外部網頁中內嵌最適化表單
- 最適化表單元件的內嵌樣式
- 多步驟表單序列簡介
- 最適化表單的版面功能
- AEM Forms中的預留位置文字
- 預覽表格
- 重複使用最適化表單
- 自適應形式中的分隔器元件
- 使用塗鴉簽名將電子簽名套用至表格
- AEM Forms鍵盤快速鍵
- 將提交審核者與表單建立關聯
- 製作表格欄位的內容相關說明
- 使用「版面」模式來調整元件大小
- 最適化表單——進階製作
- 使用JSON結構描述建立最適化表單
- 使用XML架構建立最適化表單
- 在最適化表單中使用Adobe Sign
- 建立和使用主題
- 最適化表單規則編輯器
- 從自適應表單調用表單資料模型服務的API
- 非同步提交最適化表單
- 使用一組自適應表單建立自適應表單
- 最適化表單範本
- 最適化表單運算式
- 為最適化表單產生記錄檔案
- 使用延遲載入改善大型表單的效能
- 預先填寫最適化表格欄位
- 在最適化表單中使用SOM表達式
- 從使用者資料新增資訊至表單提交中繼資料
- 基於XDP的自適應表單中的XFA支援
- 在設計人員中變更頁面零內容
- 授予規則編輯器對選定用戶組的訪問權限
- 使用AEM轉譯工作流程,將最適化表單和記錄檔案當地語系化
- 自動測試可調式表單
- 最適化表單的樣式構造
- 使用XFA表單範本同步化最適化表單
- 將Adobe Sign與AEM Forms整合
- 建立和管理表單中資產的審核
- 在AEM Sites單頁應用程式中內嵌最適化表單或互動式通訊
- 標準驗證錯誤訊息最適化表單
- 互動式通訊
- 工作流程
- AEM Forms Workspace
- AEM Forms工作區簡介
- 使用AEM Forms工作區
- AEM Forms Workspace架構
- AEM Forms工作區的功能不適用於Flex工作區
- AEM Forms工作區不提供Flex工作區的功能
- 骨幹互動
- 可重複使用的元件說明
- 轉譯器的檔案詳細資訊
- 將AEM Forms工作區元件整合在Web應用程式中
- 新的演算和提交服務
- 瞭解資料夾結構
- 將協力廠商應用程式整合在AEM Forms工作區
- AEM Forms工作區JSON物件說明
- 自訂AEM表單工作區簡介
- AEM Forms工作區自訂的一般步驟
- 變更AEM Forms工作區使用者介面的地區設定
- 建立新的登入畫面
- 自定義錯誤對話框
- 自定義任務的頁籤
- 自定義任務詳細資訊頁
- 自定義流程實例清單
- 自定義任務操作
- 在ToDo清單中顯示其他資料
- 在摘要URL中獲取任務變數
- 自訂路由動作中使用的影像
- JavaScript檔案的精簡化
- 自訂追蹤表格
- 更新檔案的連結
- 在AEM Forms工作區中使用表單集
- AEM Forms工作區中使用的API
- 使用AEM Forms工作區中現有的流程資料開始新的流程
- 在單一伺服器上托管兩個AEM Forms工作區例項
- 更改介面的顏色配置
- 變更介面上的字型
- 變更組織品牌標誌
- 在「任務摘要」窗格中顯示資訊
- 顯示使用者頭像
- AEM Forms工作區快速入門
- 使用管理員視圖管理組織層次結構中的任務
- 啟動流程
- 追蹤程式
- 單一登入和逾時處理常式
- 在HTML工作區中使用最適化表單
- 將AEM表單工作區與Microsoft Office SharePoint Server整合
- 使用待辦事項清單
- AEM Forms工作區疑難排解指引
- AEM Forms應用程式
- AEM Forms應用程式簡介
- 設定AEM Forms應用程式的環境
- 設定Xcode專案並建立iOS應用程式
- 建立iOS適用的安全AEM Forms應用程式
- 設定Visual Studio專案並建立Windows應用程式
- 設定Android Studio專案並建立Android應用程式
- 建立AEM Forms Android應用程式
- 散發AEM Forms應用程式
- 手勢自訂
- 品牌自訂
- 主題自訂
- 登入AEM Forms應用程式
- 首頁畫面
- 同步化應用程式
- 使用表單
- 使用起點
- 開啟任務
- 將任務或表單另存為草稿
- 在AEM Forms應用程式中使用自動儲存
- 將表單儲存為範本
- 添加附件
- 在離線模式下工作
- 更新一般設定
- 疑難排解AEM Forms應用程式
- HTML5 Forms
- HTML5表單簡介
- HTML5表格快速入門
- HTML5表單的架構
- HTML5表單和PDF表單的功能區隔
- HTML5表單的常見問題(FAQ)
- 設計HTML5表單的表單範本
- HTML5表單的最佳範例
- 設計可存取的HTML5表單
- 產生XDP表單的HTML5預覽
- HTML5表單的轉換表單範本
- 啟用HTML5表單的附件
- HTML5 Forms服務代理
- 最佳化HTML5表單
- HTML5表單的螢幕閱讀程式
- 建立HTML5表單的自訂描述檔
- HTML5表格中的從右至左語言
- 將Form Bridge與HTML5表單的自訂入口網站整合
- 在HTML5表單中建立自訂外觀
- 變更HTML5表格的預設樣式
- HTML5表單的Picture子句支援
- 在HTML5表單中建立可存取的複雜表格
- 建立HTML5表格的CSS樣式
- 自訂HTML5表單的錯誤訊息
- 將HTML5表格儲存為草稿
- 啟用HTML5表單的記錄功能
- 除錯HTML5表格
- 支援HTML5表格的指令碼
- AEM Forms中設定的表單
- 信件與通訊
- 將AEM Forms與Experience Cloud解決方案整合
- 發佈及處理AEM表單
- 表單入口網站
- 檔案服務
- Document Security
- Forms Designer
- 自訂AEM表格
- 交易報表
- JEE上AEM Forms的管理員說明
- 流程報告
- 開發人員參考
- 開發人員基本資訊
- HTML 範本語言
- AEM增效模組,以除錯最適化表單
- AEM Forms Java API參考
- AEM Forms on JEE Java API參考
- HTML5表單的Form Bridge API
- 適用於Adaptive Forms的JavaScript程式庫API參考
- Assembler Service和DDX Reference
- Workbench說明
- 在JEE上使用AEM Forms進行程式設計
- 在JEE上使用AEM Forms進行程式設計簡介
- 開發AEM Forms的SPI
- Java API快速入門——程式碼範例
- Application Manager Client JavaAPI快速入門(SOAP)
- Application Manager服務JavaAPI快速入門(SOAP)
- Assembler Service Java API QuickStart(SOAP)
- Acrobat Reader DC擴充功能服務Java API快速入門(SOAP)
- 備份和恢復服務APIQ快速啟動
- Barcoded Forms Service Java APIQuick Start(SOAP)
- 元件與服務Java APIQuick Start(SOAP)
- 轉換PDF服務Java API QuickStart(SOAP)
- 憑證服務Java API QuickStart(SOAP)
- Distiller Service Java API QuickStart(SOAP)
- DocConverter服務Java API QuickStart(SOAP)
- 檔案管理服務(已過時)Java API快速入門(SOAP)
- Document Security Service JavaAPI快速入門(SOAP)
- 加密服務Java API QuickStart(SOAP)
- 端點註冊表Java API QuickStart(SOAP)
- 表單資料整合服務JavaAPI快速入門(SOAP)
- Forms Service API快速入門
- 產生PDF服務Java API QuickStart(SOAP)
- 調用API快速啟動
- LiveCycleProcess Java API(SOAP)快速入門
- 輸出服務Java API快速入門(SOAP)
- PDF公用程式服務Java APIQuick Start(SOAP)
- 儲存庫服務API快速啟動
- 簽名服務Java API QuickStart(SOAP)
- 任務管理器服務Java API QuickStart(SOAP)
- User Manager Java API快速入門(SOAP)
- XMP實用程式服務Java APIQuick Start(SOAP)
- 使用API在JEE上叫用AEM Forms
- 使用API執行服務操作
- 使用API執行服務操作
- 轉換表單
- 組合PDF檔案
- 以程式設計方式組合PDF檔案
- 在檔案格式與PDF之間轉換
- 以程式設計方式解譯PDF檔案
- 組合加密的PDF檔案
- 組合多個XDP片段
- 使用Bates編號組合文檔
- 組合非互動式PDF檔案
- 使用書籤組合PDF檔案
- 分配使用權
- 組合PDF資料夾
- 計算表單資料
- 建立轉譯表單的Web應用程式
- 使用已提交的XML資料建立PDF檔案
- 使用web service API解譯PDF檔案
- 判斷檔案是否與PDF/A相容
- 動態建立DDX檔案
- 處理提交的表單
- 最佳化Forms Service的效能
- 將檔案傳送至FormsService
- 使用可排程的版面預先填入表單
- 根據片段呈現表單
- 依值轉換表單
- 將表單轉換為HTML
- 在用戶端轉換表單
- 使用自訂CSS檔案轉換HTML表格
- 使用CustomToolbars轉換HTML表格
- 轉換互動式PDF表單
- 轉換具權限的表單
- 驗證DDX文檔
- 將PDF轉換為Postscript和影像檔案
- 將Postscript轉換為PDF檔案
- 建立檔案輸出串流
- 數位簽署和認證檔案
- 加密和解密PDF檔案
- 匯入和匯出資料
- 管理使用者
- 使用AEM Forms Repository
- 使用條形碼表單
- 使用認證
- 使用PDF/A檔案
- 使用PDF公用程式
- 使用XMP實用程式
- 準備AEM Forms以進行備份
- 以程式設計方式管理端點
- 以程式設計方式管理偏好設定節點
- 使用原則保護檔案
- 使用web service API驗證DDX檔案
防止CSRF攻擊
CSRF攻擊的運作方式
跨網站要求偽造(CSRF)是一項網站弱點,有效使用者的瀏覽器可用來傳送惡意要求(可能是透過iFrame)。 由於瀏覽器會依網域傳送Cookie,因此,如果使用者目前已登入應用程式,使用者的資料可能會受到危害。
例如,假設您在瀏覽器中登入管理主控台。 您會收到包含連結的電子郵件訊息。 您按一下連結,會在瀏覽器中開啟新的標籤。 您開啟的頁面包含隱藏的iFrame,會使用已驗證的AEM表單工作階段中的Cookie,對表單伺服器提出惡意要求。 由於「使用者管理」會收到有效的Cookie,因此會傳遞請求。
CSRF相關術語
參考: 來自要求的來源頁面地址。 例如,site1.com的網頁包含site2.com的連結。 按一下連結會將要求張貼至site2.com。 此請求的參考者為site1.com,因為此請求是從來源為site1.com的頁面提出。
允許列出的URI: URI可識別所請求表單伺服器上的資源,例如/adminui或/contentspace。 某些資源可能允許請求從外部站點輸入應用程式。 這些資源被視為允許列出的URI。 表單伺服器從不從允許列出的URI中執行引用檢查。
空引用器: 當您開啟新的瀏覽器視窗或標籤時,輸入位址並按Enter,則反向連結為null。 這項要求是全新的,並非源自父網頁; 因此,沒有請求的參考。 表單伺服器可接收來自下列網站的空值參考者:
- 在SOAP或REST端點上從Acrobat提出的要求
- 對AEM表單SOAP或REST端點進行HTTP要求的任何案頭用戶端
- 開啟新的瀏覽器視窗,並輸入任何AEM表單網頁應用程式登入頁面的URL時
允許在SOAP和REST端點上使用空值引用器。 也允許所有URI登入頁面(例如/adminui和/contentspace)及其對應的映射資源上有空引用器。 例如,/contentspace的映射servlet為/contentspace/faces/jsp/login.jsp,這應為空引用器異常。 只有在您為Web應用程式啟用GET篩選時,才需要此例外。 您的應用程式可以指定是否允許空值參照器。 請參閱「AEM表單的強化與安全性」中的「防止跨 網站要求偽造攻擊」。
允許的引用例外: 允許的引用例外是允許的引用的清單的子清單,從中阻止請求。 允許參考例外是Web應用程式的特定情況。 如果不允許允許的引用程式的子集調用特定Web應用程式,則可以通過允許的引用例外來阻止引用程式。 允許的引用例外是在您應用程式的web.xml檔案中指定。 (請參閱「說明與教學課程」頁面上「AEM表單的強化與安全性」中的「防止跨網站要求偽造攻擊」)。
如何允許參考者運作
AEM表格提供反向連結篩選,可協助防止CSRF攻擊。 以下是反向連結篩選的運作方式:
-
Forms伺服器檢查用於調用的HTTP方法:
- 如果是POST,表單伺服器將執行反向連結標題檢查。
- 如果是GET,表單伺服器會繞過參考者檢查,除非CSRF_CHECK_GETS設定為true,否則它會執行參考者標頭檢查。 CSRF_CHECK_GETS是在應用程式的web.xml檔案中指定。 (請參閱「強化與安全性指南」中的「防止跨網站要求偽造 攻擊」)。
-
Forms伺服器檢查是否允許列出請求的URI:
- 如果允許列出URI,則伺服器會傳遞請求。
- 如果未列出請求的URI,則伺服器將檢索請求的引用器。
-
如果請求中有參考,伺服器會檢查它是否為允許的參考。 如果允許,則伺服器會檢查是否有引用者例外:
- 如果是例外,則會封鎖請求。
- 如果不是例外,則會傳遞請求。
-
如果請求中沒有引用器,伺服器會檢查是否允許空引用器。
- 如果允許空引用,則會傳遞請求。
- 如果不允許空引用,伺服器會檢查請求的URI是否為空引用的例外,並相應地處理請求。
設定允許的參考者
運行Configuration Manager時,預設主機和IP地址或表單伺服器將添加到「允許的引用」清單中。 您可以在管理控制台中編輯此清單。
-
在管理控制台中,按一下「設定>使用者管理>設定>設定允許的參考URL」。 「允許的參考」清單會顯示在頁面底部。
-
若要新增允許的參考者:
- 在「允許的參考」方塊中輸入主機名稱或IP位址。 要一次添加多個允許的引用器,請在新行上鍵入每個主機名或IP地址。
- 在「HTTP埠」和「HTTPS埠」框中,指定允許HTTP、HTTPS或兩者的埠。 如果保留這些框為空,則使用預設埠(HTTP的埠80和HTTPS的埠443)。 如果在框
0中輸入(零),則該伺服器上的所有埠都將啟用。 您也可以輸入特定的埠號,以僅啟用該埠。 - 按一下「新增」。
-
要從「允許的引用」清單中刪除條目,請從清單中選擇項,然後按一下「刪除」。
如果「允許的參考者清單」為空白,CSRF功能就會停止運作,而且系統會變得不安全。
-
變更「允許的參考者」清單後,請重新啟動AEM表單伺服器。