- AEM 6.5Forms指南
- 發行說明
- 快速入門
- 安裝並配置AEM Forms
- 適用於AEM Forms的體系結構和部署拓撲
- 為AEM Forms安裝選擇持久性類型
- 在OSGi
- 在JEE上安裝AEM Forms
- JEE上支援AEM的表格平台
- 在JEE上使用JBoss Tunkly安裝和部署AEM Forms
- 安裝和配置AEM FormsDocument Security伺服器
- 準備安裝AEM Forms(單伺服器)
- 在JBoss的JEE上安裝和部署Adobe Experience Manager Forms
- 在JEE for WebSphere上安裝和部署Adobe Experience Manager表單
- 在WebLogic的JEE上安裝和部署AEM Forms
- 安裝AEM Forms工作台
- 安裝和配置設計器
- 準備安裝AEM Forms(伺服器群集)
- 在JBoss群集上配置JEE上的Adobe Experience Manager Forms
- 在WebSphere群集上配置JEE上的Adobe Experience Manager Forms
- 在WebLogic群集上配置JEE上的Adobe Experience Manager Forms
- 設定 AEM Forms
- 升級AEM Forms
- 管理AEM Forms
- 表單資料模型
- 最適化Forms-基本編寫
- 使用最適化表單的最佳範例
- 建立最適化表單
- 最適化表單片段
- 設定「提交」動作
- 在最適化表單中使用CAPTCHA
- 最適化表單關鍵字
- 最適化表格
- 自動儲存最適化表單
- 設定重新導向頁面
- 建立可存取的調適性表單
- 使用可重複的區段建立表單
- 在網站頁面中內嵌最適化表單或互動式AEM通訊
- 在外部網頁中內嵌適用性表單
- 最適化表單元件的內嵌樣式
- 多步驟表單序列簡介
- 最適化表單的版面功能
- AEM Forms的預留位置文字
- 預覽表格
- 重複使用最適化表單
- 自適應形式中的分隔器元件
- 使用塗鴉簽名將電子簽名套用至表格
- AEM Forms鍵盤快速鍵
- 將提交審核者與表單建立關聯
- 製作表格欄位的內容相關說明
- 使用「版面」模式來調整元件大小
- 最適化Forms-進階編寫
- 使用JSON結構描述建立最適化表單
- 使用XML架構建立最適化表單
- 以最適化形式使用Adobe Sign
- 建立和使用主題
- 最適化表單規則編輯器
- 從自適應表單調用表單資料模型服務的API
- 非同步提交最適化表單
- 使用一組自適應表單建立自適應表單
- 最適化表單範本
- 最適化表單運算式
- 為最適化表單產生記錄檔案
- 使用延遲載入改善大型表單的效能
- 預先填寫最適化表格欄位
- 在最適化表單中使用SOM表達式
- 從使用者資料新增資訊至表單提交中繼資料
- 基於XDP的自適應表單中的XFA支援
- 在設計人員中變更頁面零內容
- 將規則編輯器存取權授予給所選的使用者群組
- 使用翻AEM譯工作流程本地化最適化表單和記錄檔案
- 自動測試可調式表單
- 最適化表單的樣式構造
- 使用XFA表單範本同步化最適化Forms
- 將Adobe Sign與AEM Forms整合
- 建立和管理表單中資產的審核
- 在AEM Sites單頁應用程式中嵌入自適應表單或互動式通訊
- 標準驗證錯誤訊息最適化Forms
- 互動式通訊
- 工作流程
- AEM Forms工作區
- AEM Forms工作區簡介
- 使用AEM Forms工作區
- AEM Forms工作區架構
- AEM Forms工作區功能不適用於Flex工作區
- Flex工作區功能不適用於AEM Forms工作區
- 骨幹互動
- 可重複使用的元件說明
- 轉譯器的檔案詳細資訊
- 將AEM Forms工作區元件整合在Web應用程式中
- 新的演算和提交服務
- 瞭解資料夾結構
- 將協力廠商應用程式整合在AEM Forms工作區
- AEM Forms工作區JSON物件說明
- 自訂表單工AEM作區簡介
- AEM Forms工作區自訂的一般步驟
- 更改AEM Forms工作區用戶介面的區域設定
- 建立新的登入畫面
- 自定義錯誤對話框
- 自定義任務的頁籤
- 自定義任務詳細資訊頁
- 自定義流程實例清單
- 自定義任務操作
- 在ToDo清單中顯示其他資料
- 在摘要URL中獲取任務變數
- 自訂路由動作中使用的影像
- JavaScript檔案的精簡化
- 自訂追蹤表格
- 更新檔案的連結
- 在AEM Forms工作區中使用表單集
- 用於AEM Forms工作區的API
- 利用AEM Forms工作區中的現有流程資料啟動新流程
- 在一台伺服器上裝載兩個AEM Forms工作區例項
- 更改介面的顏色配置
- 變更介面上的字型
- 變更組織品牌標誌
- 在「任務摘要」窗格中顯示資訊
- 顯示使用者頭像
- 開始使用AEM Forms工作區
- 使用管理員視圖管理組織層次結構中的任務
- 啟動流程
- 追蹤程式
- 單一登入和逾時處理常式
- 在HTML工作區中使用最適化表單
- 將表AEM單工作區與Microsoft Office SharePoint Server整合
- 使用待辦事項清單
- AEM Forms工作區疑難排解指引
- AEM Forms應用程式
- AEM Forms應用程式簡介
- 為AEM Forms應用程式設定環境
- 設定Xcode專案並建立iOS應用程式
- 建立iOS專用的安全AEM Forms應用程式
- 設定Visual Studio專案並建立Windows應用程式
- 設定Android Studio專案並建立Android應用程式
- 建立AEM FormsAndroid應用程式
- 散發AEM Forms應用程式
- 手勢自訂
- 品牌自訂
- 主題自訂
- 登入AEM Forms應用程式
- 首頁畫面
- 同步化應用程式
- 使用表單
- 使用起點
- 開啟任務
- 將任務或表單另存為草稿
- 在AEM Forms應用程式中使用自動儲存
- 將表單儲存為範本
- 添加附件
- 在離線模式下工作
- 更新一般設定
- 疑難排解AEM Forms應用程式
- HTML5 表單
- HTML5表單簡介
- HTML5表格快速入門
- HTML5表單的架構
- HTML5表單與PDF forms的功能區隔
- HTML5表單的常見問題(FAQ)
- 設計HTML5表單的表單範本
- HTML5表單的最佳範例
- 設計可存取的HTML5表單
- 產生XDP表單的HTML5預覽
- HTML5表單的轉換表單範本
- 啟用HTML5表單的附件
- HTML5 Forms服務代理
- 最佳化HTML5表單
- HTML5表單的螢幕閱讀程式
- 建立HTML5表單的自訂描述檔
- HTML5表格中的從右至左語言
- 將Form Bridge與HTML5表單的自訂入口網站整合
- 在HTML5表單中建立自訂外觀
- 變更HTML5表格的預設樣式
- HTML5表單的Picture子句支援
- 在HTML5表單中建立可存取的複雜表格
- 建立HTML5表格的CSS樣式
- 自訂HTML5表單的錯誤訊息
- 將HTML5表格儲存為草稿
- 啟用HTML5表單的記錄功能
- 除錯HTML5表格
- 支援HTML5表格的指令碼
- AEM Forms表單集
- 字母與通訊
- 將AEM Forms與Experience Cloud解決方案整合
- 發佈及處理AEM Forms
- 表單入口網站
- 文件服務
- Document Security
- Forms Designer
- 自定義AEM Forms
- 事務報表
- JEE上AEM Forms的管理員幫助
- 程序報告
- 開發人員參考
- 開發人員基本資訊
- HTML 範本語言
- 調AEM試最適化表單的外掛程式
- AEM FormsJava API參考
- AEM FormsJEE Java API參考
- HTML5表單的Form Bridge API
- 適用於AdaptiveForms的JavaScript程式庫API參考
- Assembler Service和DDX Reference
- Workbench說明
- 與AEM Forms一起在JEE上進行寫程式
- 與AEM Forms一起討論JEE
- 開發AEM Forms的SPI
- Java API快速入門——程式碼範例
- Application Manager Client JavaAPI快速入門(SOAP)
- Application Manager服務JavaAPI快速入門(SOAP)
- Assembler Service Java API QuickStart(SOAP)
- Acrobat Reader DC擴充功能服務Java API快速入門(SOAP)
- 備份和恢復服務APIQ快速啟動
- BarcodedForms服務Java APIQuick Start(SOAP)
- 元件與服務Java APIQuick Start(SOAP)
- 轉換PDF服務Java API QuickStart(SOAP)
- 憑證服務Java API QuickStart(SOAP)
- Distiller服務Java API QuickStart(SOAP)
- DocConverter服務Java API QuickStart(SOAP)
- 檔案管理服務(已過時)Java API快速入門(SOAP)
- Document Security Service JavaAPI快速入門(SOAP)
- 加密服務Java API QuickStart(SOAP)
- 端點註冊表Java API QuickStart(SOAP)
- 表單資料整合服務JavaAPI快速入門(SOAP)
- Forms服務API快速入門
- 產生PDF服務Java API QuickStart(SOAP)
- 調用API快速啟動
- LiveCycleProcess Java API(SOAP)快速入門
- 輸出服務Java API快速入門(SOAP)
- PDF公用程式服務Java APIQuick Start(SOAP)
- 儲存庫服務API快速啟動
- 簽名服務Java API QuickStart(SOAP)
- 任務管理器服務Java API QuickStart(SOAP)
- User Manager Java API快速入門(SOAP)
- 實XMP用程式服務Java APIQuick Start(SOAP)
- 使用API在JEE上叫用AEM Forms
- 使用API
- 使用API執行服務操作
- 渲染Forms
- 組合PDF檔案
- 以程式設計方式組合PDF檔案
- 在檔案格式與PDF之間轉換
- 以程式設計方式解譯PDF檔案
- 組合加密的PDF檔案
- 組合多個XDP片段
- 使用Bates編號組合文檔
- 組合非互動式PDF檔案
- 使用書籤組合PDF檔案
- 分配使用權
- 組合PDFPortfolio
- 計算表單資料
- 建立轉譯Forms的Web應用程式
- 使用已提交的XML資料建立PDF檔案
- 使用web service API解譯PDF檔案
- 判斷檔案是否與PDF/A相容
- 動態建立DDX檔案
- 處理已提交Forms
- 最佳化Forms Service的效能
- 將檔案傳送至FormsService
- 使用可排程的版面預先填入Forms
- 基於片段呈現Forms
- 按價值呈現Forms
- 將Forms轉換為HTML
- 在客戶端呈現Forms
- 使用自訂CSS檔案轉換HTMLForms
- 使用CustomToolbars轉換HTMLForms
- 轉換互動式PDF forms
- 啟用版權的Forms
- 驗證DDX文檔
- 將PDF轉換為Postscript和影像檔案
- 將Postscript轉換為PDF檔案
- 建立檔案輸出串流
- 數位簽署和認證檔案
- 加密和解密PDF檔案
- 匯入和匯出資料
- 管理使用者
- 使用AEM Forms儲存庫
- 使用條形碼表單
- 使用認證
- 使用PDF/A檔案
- 使用PDF公用程式
- 使用實用程式XMP
- 準備AEM Forms備份
- 以程式設計方式管理端點
- 以程式設計方式管理偏好設定節點
- 使用原則保護檔案
- 使用web service API驗證DDX檔案
防止CSRF攻擊
CSRF攻擊如何運作
跨網站要求偽造(CSRF)是一項網站弱點,有效使用者的瀏覽器可用來傳送惡意要求(可能是透過iFrame)。 由於瀏覽器會依網域傳送Cookie,因此,如果使用者目前已登入應用程式,使用者的資料可能會受到危害。
例如,假設您在瀏覽器中登入管理主控台。 您會收到包含連結的電子郵件訊息。 您按一下連結,會在瀏覽器中開啟新的標籤。 您開啟的頁面包含隱藏的iFrame,會使用已驗證的AEM表單工作階段中的Cookie,對表單伺服器提出惡意要求。 由於「使用者管理」會收到有效的Cookie,因此會傳遞請求。
與CSRF相關的詞語
Referer: 要提出請求的來源頁面的位址。例如,site1.com的網頁包含site2.com的連結。 按一下連結會將要求張貼至site2.com。 此請求的參考者為site1.com,因為此請求是從來源為site1.com的頁面提出。
允許列出的URI: URI可識別所請求表單伺服器上的資源,例如/adminui或/contentspace。某些資源可能允許請求從外部站點輸入應用程式。 這些資源被視為允許列出的URI。 表單伺服器從不從允許列出的URI中執行引用檢查。
Null referer:當 您開啟新的瀏覽器視窗或標籤,然後輸入位址並按Enter鍵時,referer為null。這項要求是全新的,並非源自父網頁;因此,沒有請求的參考。 表單伺服器可接收來自下列網站的空值參考者:
- 在SOAP或REST端點上從Acrobat提出的要求
- 對AEM表單SOAP或REST端點進行HTTP要求的任何案頭用戶端
- 開啟新的瀏覽器視窗,並輸入任何AEM表單網頁應用程式登入頁面的URL時
允許在SOAP和REST端點上使用空值引用器。 也允許所有URI登入頁面(例如/adminui和/contentspace)及其對應的映射資源上有空引用器。 例如,/contentspace的映射servlet為/contentspace/faces/jsp/login.jsp,這應為空引用器異常。 只有在您為Web應用程式啟用GET篩選時,才需要此例外。 您的應用程式可以指定是否允許空值參照器。 請參閱Harding and Security for AEM forms中的「Protecting for Cross-Site Request Furshing attacks」(防止跨網站要求偽造攻擊)。
允許的引用例外: 允許的引用例外是允許的引用的清單的子清單,從中阻止請求。允許參考例外是Web應用程式的特定情況。 如果不允許允許的引用程式的子集調用特定Web應用程式,則可以通過允許的引用例外來阻止引用程式。 允許的引用例外是在您應用程式的web.xml檔案中指定。 (請參閱「說明與教學課程」頁面上「AEM表單的強化與安全性」中的「防止跨網站要求偽造攻擊」)。
允許的反向連結如何運作
AEM表格提供反向連結篩選,可協助防止CSRF攻擊。 以下是反向連結篩選的運作方式:
-
Forms伺服器檢查用於調用的HTTP方法:
- 如果是POST,表單伺服器將執行反向連結標題檢查。
- 如果是GET,表單伺服器會繞過參考者檢查,除非CSRF_CHECK_GETS設定為true,否則它會執行參考者標頭檢查。 CSRF_CHECK_GETS是在應用程式的web.xml檔案中指定。 (請參閱強化與安全指南中的「防止跨網站要求偽造攻擊」。)
-
Forms伺服器檢查是否允許列出請求的URI:
- 如果允許列出URI,則伺服器會傳遞請求。
- 如果未列出請求的URI,則伺服器將檢索請求的引用器。
-
如果請求中有參考,伺服器會檢查它是否為允許的參考。 如果允許,則伺服器會檢查是否有引用者例外:
- 如果是例外,則會封鎖請求。
- 如果不是例外,則會傳遞請求。
-
如果請求中沒有引用器,伺服器會檢查是否允許空引用器。
- 如果允許空引用,則會傳遞請求。
- 如果不允許空引用,伺服器會檢查請求的URI是否為空引用的例外,並相應地處理請求。
配置允許的引用器
運行Configuration Manager時,預設主機和IP地址或表單伺服器將添加到「允許的引用」清單中。 您可以在管理控制台中編輯此清單。
-
在管理控制台中,按一下「設定>使用者管理>設定>設定允許的參考URL」。「允許的參考」清單會顯示在頁面底部。
-
若要新增允許的參考者:
- 在「允許的參考」方塊中輸入主機名稱或IP位址。 要一次添加多個允許的引用器,請在新行上鍵入每個主機名或IP地址。
- 在「HTTP埠」和「HTTPS埠」框中,指定允許HTTP、HTTPS或兩者的埠。 如果保留這些框為空,則使用預設埠(HTTP的埠80和HTTPS的埠443)。 如果在框中輸入
0(零),則該伺服器上的所有埠都將啟用。 您也可以輸入特定的埠號,以僅啟用該埠。 - 按一下「新增」。
-
要從「允許的引用」清單中刪除條目,請從清單中選擇項,然後按一下「刪除」。
如果「允許的參考者清單」為空白,CSRF功能就會停止運作,而且系統會變得不安全。
-
變更「允許的參考者」清單後,請重新啟動AEM表單伺服器。
本頁內容
