Problemas de segurança e desempenho de script do AEM RUM com o WAF e o CDN
O Adobe Experience Manager (AEM) injeta o script de Monitoramento de usuário real (RUM) nas páginas de publicação, o que aciona problemas de segurança e desempenho, como blocos do WAF, solicitações excessivas de telemetria e restrições de proxy. Esses problemas ocorrem devido ao alto volume de solicitações, caminhos de script relativos ou configurações de segurança rígidas. Para resolver o problema, permita endpoints, ajuste regras de proxy e valide descobertas.
Descrição description
Ambiente
Adobe Experience Manager as a Cloud Service (AEMaaCS)
Problema/Sintoma
- O WAF ou CDN bloqueia solicitações POST repetidas para
/.rum/100e mostra erros como 403 Acesso Negado. - O ambiente mostra solicitações de POST repetidas para
/.rum/100, o que causa atividade excessiva na rede ou bloqueios de limite de taxa. - As verificações de segurança sinalizam caminhos de script não familiares, como
/.rum/@adobe/helix-rum-js@2/dist/rum-standalone.js. - O proxy reverso bloqueia caminhos RUM relativos, como
/.rum/..., o que impede que o script RUM seja carregado. - A CDN adiciona cadeias de caracteres de consulta inesperadas, que acionam repetidas tentativas de RUM e blocos de WAF.
Causa raiz
O problema ocorre quando o script AEM RUM, que o AEM as a Cloud Service injeta por padrão para telemetria operacional, envia solicitações frequentes para pontos de extremidade relativos, como /.rum/100. Configurações rígidas de CDN, WAF ou proxy tratam o padrão da solicitação, o caminho relativo ou as solicitações modificadas como uma atividade suspeita, o que resulta em tráfego bloqueado, tentativas repetidas ou descobertas de segurança.
Resolução resolution
Siga estas etapas para identificar o tipo de problema de RUM e aplicar a correção apropriada:
- Identifique o tipo de problema comparando o comportamento observado com cenários como bloqueio de proxy reverso, solicitações excessivas de telemetria, descobertas do verificador de segurança ou solicitações para desativar o RUM.
- Resolva o bloqueio de proxy reverso permitindo rum.hlx.page na configuração de CDN, WAF ou proxy e na CSP para que o script seja carregado de um domínio totalmente qualificado em vez de um caminho relativo.
- Resolva o bloqueio do WAF permitindo o ponto de extremidade de telemetria
/.rum/100e confirmando que o tráfego de telemetria legítimo não está mais bloqueado. - Aborde as descobertas da verificação de segurança revisando os caminhos RUM sinalizados e confirmando que o Adobe injeta o script e que o caminho é seguro.
- Desative ou restrinja o RUM abrindo uma solicitação de suporte se precisar que o script RUM seja desativado, pois não poderá desativá-lo por meio do código.
- Limpe o cache CDN após qualquer alteração de configuração de RUM para remover scripts de RUM obsoletos e aplicar o comportamento atualizado.
- Valide o relatório de RUM confirmando se as páginas são carregadas corretamente, se o script usa o domínio desejado ou se permanece desativado e se os erros não aparecem mais nos logs do WAF ou do CDN.
Quando escalonar:
- O problema continua após permitir os endpoints e atualizar a configuração do proxy, CDN ou WAF.
- As solicitações de telemetria ainda acionam blocos repetidos ou picos de solicitações altas.
- O script RUM continua a carregar ou se comportar incorretamente após a alteração de configuração.
- A desativação do script RUM requer a intervenção do Suporte da Adobe.