- AEM 6.5 Forms指南
- 發行說明
- 快速入門
- 安裝並配置AEM Forms
- 適用於AEM Forms的架構和部署拓撲
- 為AEM Forms安裝選擇持續性類型
- 在OSGi上安裝AEM Forms
- 在JEE上安裝AEM Forms
- JEE版AEM Forms支援平台
- 在JEE上使用JBoss整套工具安裝和部署AEM Forms
- 安裝和設定AEM Forms Document Security伺服器
- 準備安裝AEM Forms(單一伺服器)
- 在JEE for JBoss上安裝和部署Adobe Experience Manager Forms
- 在JEE for WebSphere上安裝和部署Adobe Experience Manager表單
- 在JEE for WebLogic上安裝和部署AEM Forms
- 安裝AEM Forms Workbench
- 安裝和配置設計工具
- 準備安裝AEM Forms(伺服器叢集)
- 在JBoss叢集上的JEE上設定Adobe Experience Manager Forms
- 在WebSphere叢集的JEE上設定Adobe Experience Manager Forms
- 在WebLogic叢集上的JEE上設定Adobe Experience Manager Forms
- 設定 AEM Forms
- 升級AEM Forms
- 管理AEM Forms
- 表單資料模型
- 適用性Forms — 基本編寫
- 使用最適化表單的最佳實務
- 建立最適化表單
- 最適化表單片段
- 設定提交動作
- 在最適化表單中使用CAPTCHA
- 適用性表單關鍵字
- 適用性表單中的表格
- 自動儲存最適化表單
- 設定重新導向頁面
- 建立無障礙的最適化表單
- 使用可重複的區段建立表單
- 在AEM網站頁面中內嵌最適化表單或互動式通訊
- 在外部網頁中內嵌適用性表單
- 最適化表單元件的內嵌樣式
- 多步驟表單序列簡介
- 最適化表單的版面功能
- AEM Forms中的預留位置文字
- 預覽表單
- 重複使用最適化表單
- 適用性表單中的分隔符號元件
- 使用手寫簽名將電子簽名應用到表單
- AEM Forms鍵盤快速鍵
- 將提交審核者與表單關聯
- 為表單欄位編寫內容說明
- 使用「版面」模式調整元件大小
- 適用性Forms — 進階編寫
- 使用JSON結構建立最適化表單
- 使用XML結構建立最適化表單
- 在最適化表單中使用Adobe Sign
- 建立和使用主題
- 適用性表單規則編輯器
- 從適用性表單叫用表單資料模型服務的API
- 非同步提交最適化表單
- 使用一組最適化表單建立最適化表單
- 最適化表單範本
- 適用性表單運算式
- 產生最適化表單的記錄檔案
- 透過延遲載入改善大型表單的效能
- 預填最適化表單欄位
- 在最適化表單中使用SOM運算式
- 從使用者資料新增資訊至表單提交中繼資料
- XDP型最適化表單的XFA支援
- 在設計器中更改頁面零內容
- 將規則編輯器存取權授予給所選的使用者群組
- 使用AEM翻譯工作流程將最適化表單和記錄檔案當地化
- 自動測試最適化表單
- 最適化表單的樣式結構
- 同步適用性Forms與XFA表單範本
- 整合Adobe Sign與AEM Forms
- 建立和管理表單中資產的審核
- 在AEM Sites單頁應用程式中內嵌最適化表單或互動式通訊
- 標準驗證錯誤訊息適用性Forms
- 互動式通訊
- 工作流程
- AEM Forms Workspace
- AEM Forms工作區簡介
- 使用AEM Forms工作區
- AEM Forms Workspace架構
- AEM Forms工作區中不提供Flex工作區的功能
- Flex工作區中不提供AEM Forms工作區的功能
- 骨幹互動
- 可重複使用元件的說明
- 轉譯器的檔案詳細資訊
- 將AEM Forms工作區元件整合至網頁應用程式
- 新的呈現和提交服務
- 了解資料夾結構
- 在AEM Forms工作區中整合協力廠商應用程式
- AEM Forms工作區JSON物件說明
- 自訂AEM表單工作區簡介
- AEM Forms工作區自訂的一般步驟
- 變更AEM Forms工作區使用者介面的地區設定
- 建立新登入畫面
- 自定義錯誤對話框
- 自定義任務的頁簽
- 自定義任務詳細資訊頁
- 自定義進程實例清單
- 自定義任務操作
- 在ToDo清單中顯示其他資料
- 在摘要URL中取得任務變數
- 自定義用於路由操作的影像
- JavaScript檔案的縮制
- 自訂追蹤表格
- 更新檔案的連結
- 在AEM Forms工作區中使用表單集
- AEM Forms工作區中使用的API
- 使用AEM Forms工作區中的現有流程資料啟動新流程
- 將兩個AEM Forms工作區執行個體托管在一部伺服器上
- 更改介面的顏色配置
- 更改介面上的字型
- 更改組織標識以用於品牌
- 在「任務摘要」窗格中顯示資訊
- 顯示使用者頭像
- AEM Forms工作區快速入門
- 使用管理員視圖管理組織層次結構中的任務
- 啟動流程
- 追蹤程式
- 單一登入和逾時處理常式
- 在HTML工作區中使用最適化表單
- 將AEM表單工作區與Microsoft Office SharePoint Server整合
- 使用待辦事項清單
- AEM Forms工作區疑難排解准則
- AEM Forms應用程式
- AEM Forms應用程式簡介
- 設定AEM Forms應用程式的環境
- 設定Xcode專案並建置iOS應用程式
- 建立iOS適用的安全AEM Forms應用程式
- 設定Visual Studio項目並構建Windows應用程式
- 設定Android Studio專案並建置Android應用程式
- 建立AEM Forms Android應用程式
- 發佈AEM Forms應用程式
- 手勢自訂
- 品牌自訂
- 主題自訂
- 登入AEM Forms應用程式
- 主畫面
- 同步應用程式
- 使用表單
- 使用起始點
- 開啟任務
- 將任務或表單另存為草稿
- 在AEM Forms應用程式中使用自動儲存
- 將表單另存為範本
- 添加附件
- 在離線模式下工作
- 更新一般設定
- 疑難排解AEM Forms應用程式
- HTML5 表單
- HTML5表單簡介
- HTML5表單快速入門
- HTML5表單架構
- HTML5表單和PDF forms的功能差異
- HTML5表單常見問題集(FAQ)
- 為HTML5表單設計表單範本
- HTML5表單最佳作法
- 設計可存取的HTML5表單
- 產生XDP表單的HTML5預覽
- 轉譯HTML5表單的表單範本
- 啟用HTML5表單的附件
- HTML5表單服務代理
- 最佳化HTML5表單
- HTML5表單的螢幕助讀程式
- 建立HTML5表單的自訂設定檔
- HTML5表單中的由右至左語言
- 整合Form Bridge與HTML5表單的自訂入口網站
- 在HTML5表單中建立自訂外觀
- 變更HTML5表單的預設樣式
- HTML5表單的Picture子句支援
- 在HTML5表單中建立可存取的複雜表格
- 建立HTML5表單的CSS樣式
- 自訂HTML5表單的錯誤訊息
- 將HTML5表單儲存為草稿
- 啟用HTML5表單記錄
- 為HTML5表單除錯
- HTML5表單的指令碼支援
- 表單集於AEM Forms
- 字母與對應
- 將AEM Forms與Experience Cloud解決方案整合
- 發佈及處理AEM Forms
- 表單入口網站
- 文件服務
- Document Security
- Forms Designer
- 自訂AEM Forms
- 事務報表
- JEE上AEM Forms的管理員說明
- 程序報告
- 開發人員參考
- 開發人員基本知識
- HTML 範本語言
- AEM外掛程式以偵錯適用性表單
- AEM Forms Java API參考
- AEM Forms on JEE Java API參考
- 適用於HTML5表單的表單橋接器API
- 適用性Forms的JavaScript程式庫API參考
- 組合器服務和DDX參考
- Workbench說明
- 在JEE上使用AEM Forms進行程式設計
- 在JEE上使用AEM Forms進行程式設計簡介
- 開發適用於AEM Forms的SPI
- Java API快速入門 — 程式碼範例
- Application Manager客戶端JavaAPI快速入門(SOAP)
- 應用程式管理器服務JavaAPI快速入門(SOAP)
- 組合器服務Java API快速入門(SOAP)
- Acrobat Reader DC擴充功能服務Java API快速入門(SOAP)
- 備份和還原服務APIQ快速啟動
- 條碼式Forms服務Java APIQ快速入門(SOAP)
- 元件和服務Java APIQ快速入門(SOAP)
- 轉換PDF服務Java API快速入門(SOAP)
- 憑據服務Java API快速入門(SOAP)
- Distiller Service Java API快速入門(SOAP)
- DocConverter服務Java API快速入門(SOAP)
- 文檔管理服務(已過時)Java API快速入門(SOAP)
- 檔案安全性服務JavaAPI快速入門(SOAP)
- 加密服務Java API快速入門(SOAP)
- 端點註冊表Java API快速入門(SOAP)
- 表單資料整合服務JavaAPI快速入門(SOAP)
- Forms服務API快速入門
- 生成PDF服務Java API快速入門(SOAP)
- 調用API快速啟動
- LiveCycleProcess Java API(SOAP)快速入門
- 輸出服務Java API快速入門(SOAP)
- PDF實用程式服務Java APIQ快速啟動(SOAP)
- 儲存庫服務API快速入門
- 簽名服務Java API快速入門(SOAP)
- 任務管理器服務Java API快速啟動(SOAP)
- 用戶管理器Java API快速入門(SOAP)
- XMP公用程式服務Java APIQ快速啟動(SOAP)
- 使用API在JEE上叫用AEM Forms
- 使用API執行服務操作
- 使用API執行服務操作
- 呈現Forms
- 組裝PDF檔案
- 以程式設計方式組合PDF檔案
- 在檔案格式和PDF之間轉換
- 以程式設計方式解譯PDF檔案
- 組裝加密的PDF檔案
- 組裝多個XDP片段
- 使用Bates編號來裝配文檔
- 組合非互動式PDF檔案
- 使用書籤組合PDF檔案
- 分配使用權
- 組裝PDFPortfolio
- 計算表單資料
- 建立可呈現Forms的Web應用程式
- 使用SubmittedXML資料建立PDF文檔
- 使用Web服務API拆解PDF檔案
- 確定文檔是否符合PDF/A
- 動態建立DDX文檔
- 處理已提交的Forms
- 優化表單服務的效能
- 將檔案傳遞至FormsService
- 使用可流式配置預填Forms
- 根據片段轉譯Forms
- 依值呈現Forms
- 將Forms轉譯為HTML
- 在用戶端呈現Forms
- 使用自訂CSS檔案轉譯HTML Forms
- 使用自訂工具列轉譯HTML Forms
- 轉譯互動式PDF forms
- 呈現已啟用權限的Forms
- 驗證DDX文檔
- 將PDF轉換為Postscript和Image檔案
- 將Postscript轉換為PDF檔案
- 建立文檔輸出流
- 數字簽名和認證文檔
- 加密和解密PDF檔案
- 匯入和匯出資料
- 管理使用者
- 使用AEM Forms存放庫
- 使用條碼式表單
- 使用憑證
- 使用PDF/A檔案
- 使用PDF公用程式
- 使用XMP公用程式
- 準備AEM Forms備份
- 以寫程式方式管理端點
- 以寫程式方式管理首選項節點
- 使用策略保護文檔
- 使用網站服務API驗證DDX檔案
防止CSRF攻擊
CSRF攻擊如何運作
跨網站請求偽造(CSRF)是一個網站漏洞,使用有效使用者的瀏覽器來傳送惡意請求(可能是透過iFrame)。 由於瀏覽器會依網域傳送Cookie,若使用者目前已登入應用程式,則使用者的資料可能會受到損害。
例如,假設您登入瀏覽器的管理控制台。 您會收到包含連結的電子郵件訊息。 按一下連結,即會在瀏覽器中開啟新索引標籤。 您開啟的頁面包含隱藏的iFrame,該iFrame會使用已驗證AEM表單工作階段的Cookie,向表單伺服器提出惡意請求。 由於使用者管理會收到有效的Cookie,因此會傳遞請求。
CSRF相關詞語
Referer: 要求的來源頁面位址。例如,site1.com上的網頁包含site2.com的連結。 按一下連結會向site2.com發佈請求。 此請求的引用者為site1.com,因為請求來自源為site1.com的頁面。
允許列出的URI: URI標識正在請求的表單伺服器上的資源,例如/adminui或/contentspace。某些資源可能允許請求從外部站點輸入應用程式。 這些資源被視為允許列出的URI。 表單伺服器從未從允許列出的URI執行反向連結檢查。
Null反向連結: 當您開啟新的瀏覽器視窗或標籤,然後輸入地址並按Enter鍵時,反向連結為null。此要求為全新請求,並非源自上層網頁;因此,請求沒有反向連結。 表單伺服器可接收來自以下網址的空反向連結:
- 在來自Acrobat的SOAP或REST端點上提出的請求
- 在AEM表單SOAP或REST端點上提出HTTP要求的任何案頭用戶端
- 開啟新瀏覽器視窗且輸入任何AEM表單網頁應用程式登入頁面的URL時
在SOAP和REST端點上允許空引用。 還允許在所有URI登入頁面(如/adminui和/contentspace)及其對應的映射資源上使用null引用。 例如,/contentspace的映射servlet為/contentspace/faces/jsp/login.jsp,這應為Null引用者例外。 只有當您為Web應用程式啟用GET篩選時,才需要此例外。 您的應用程式可以指定是否允許空引用。 請參閱Harding and Security for AEM forms中的「防止跨網站請求偽造攻擊」。
允許的反向連結例外: 允許的反向連結例外是允許的反向連結清單的子清單,從中會封鎖要求。允許的引用異常對Web應用程式是特定的。 如果不允許允許的引用的子集調用特定的Web應用程式,則可以通過允許的引用異常來阻止引用。 允許的引用異常在應用程式的web.xml檔案中指定。 (請參閱「說明和Tutorials」頁面上AEM表單的強化與安全性中的「防止跨網站請求偽造攻擊」)。
允許的反向連結如何運作
AEM forms提供反向連結篩選功能,可協助防止CSRF攻擊。 以下是反向連結篩選的運作方式:
-
表單伺服器會檢查用於呼叫的HTTP方法:
- 如果是POST,表單伺服器會執行反向連結標題檢查。
- 如果為GET,則表單伺服器會繞過引用檢查,除非將CSRF_CHECK_GETS設定為true,否則它將執行引用頭檢查。 CSRF_CHECK_GETS在應用程式的web.xml檔案中指定。 (請參閱強化與安全指南中的「防止跨網站請求偽造攻擊」。)
-
表單伺服器會檢查請求的URI是否允許列出:
- 如果允許列出URI,則伺服器會傳遞請求。
- 如果未允許列出請求的URI,則伺服器將檢索請求的引用。
-
如果請求中有反向連結,則伺服器會檢查其是否為允許的反向連結。 如果允許,伺服器會檢查是否有反向連結例外狀況:
- 如果是例外,則會封鎖要求。
- 如果不是例外,則會傳送要求。
-
如果請求中沒有反向連結,則伺服器會檢查是否允許空的反向連結。
- 如果允許空的引用,則會傳遞請求。
- 如果不允許空引用,則伺服器將檢查所請求的URI是否為空引用的例外,並相應地處理該請求。
配置允許的引用
當您運行Configuration Manager時,預設主機和IP地址或表單伺服器將添加到「允許的引用」清單中。 您可以在管理控制台中編輯此清單。
-
在管理控制台中,按一下「設定>使用者管理>設定>設定允許的反向連結URL」 。「允許的反向連結」(Allowed Referer)清單出現在頁面底部。
-
若要新增允許的反向連結:
- 在「允許的引用」框中鍵入主機名或IP地址。 若要一次新增多個允許的反向連結,請在新的一行上輸入每個主機名稱或IP位址。
- 在「HTTP埠」和「HTTPS埠」框中,指定允許HTTP、HTTPS或兩者的埠。 如果這些框為空,則使用預設埠(HTTP為埠80,HTTPS為埠443)。 如果在框中輸入
0(零),則該伺服器上的所有埠都將啟用。 您也可以輸入特定的埠號,以僅啟用該埠。 - 按一下「新增」。
-
要從「允許的引用」清單中刪除條目,請從清單中選擇項,然後按一下「刪除」。
如果「允許的引用清單」為空,CSRF功能將停止工作,系統將變得不安全。
-
變更允許的反向連結清單後,請重新啟動AEM表單伺服器。
