WAF和CDN中的AEM RUM脚本安全和性能问题

Adobe Experience Manager (AEM)在发布页面上注入Real User Monitoring (RUM)脚本,这会触发安全和性能问题,例如WAF块、过多的遥测请求和代理限制。 由于请求量大、相对脚本路径或严格的安全配置,因此会出现这些问题。 要解决此问题,请允许端点、调整代理规则并验证调查结果。

描述 description

环境

Adobe Experience Manager as a Cloud Service (AEMaaCS)

问题/症状

  • WAF或CDN阻止对/.rum/100的重复POST请求,并显示错误,如​ 403 ​访问被拒绝。
  • 此环境显示对/.rum/100的重复POST请求,这会导致过多的网络活动或速率限制锁定。
  • 安全扫描标记不熟悉的脚本路径,如/.rum/@adobe/helix-rum-js@2/dist/rum-standalone.js
  • 反向代理会阻止相对RUM路径,例如/.rum/...,从而阻止加载RUM脚本。
  • CDN添加意外的查询字符串,这会触发重复的RUM重试和WAF块。

根本原因

当AEM RUM脚本(默认情况下AEM as a Cloud Service为操作遥测注入该脚本)向相对端点(如/.rum/100)发送频繁请求时,会出现此问题。 严格的CDN、WAF或代理配置将请求模式、相对路径或修改的请求视为可疑活动,从而导致阻塞的通信、重复重试或安全发现。

解决方法 resolution

按照以下步骤确定RUM问题类型并应用适当的修复:

  1. 通过将观察到的行为与反向代理阻止、过多的遥测请求、安全扫描程序发现或禁用RUM请求等情况进行比较,识别问题类型。
  2. 通过在CDN、WAF或代理配置和CSP中允许使用rum.hlx.page来解决反向代理阻塞,以便脚本从完全限定的域而不是相对路径加载。
  3. 通过允许遥测终结点/.rum/100并确认不再阻止合法的遥测通信来解决WAF阻塞问题。
  4. 通过查看标记的RUM路径并确认Adobe注入脚本且路径安全来解决安全扫描结果。
  5. 在需要禁用RUM脚本时,通过打开支持请求来禁用或限制RUM,因为无法通过代码禁用它。
  6. 在任何RUM配置更改后清除CDN缓存,以删除过时的RUM脚本并应用更新的行为。
  7. 验证RUM报表,方法是确认页面加载正确,脚本使用目标域或保持禁用状态,并且错误不再显示在WAF或CDN日志中。

何时上报:

  • 在允许端点并更新代理、CDN或WAF配置后,问题继续存在。
  • 遥测请求仍会触发重复块或高请求尖峰。
  • 配置更改后,RUM脚本继续加载或行为不正确。
  • 禁用RUM脚本需要Adobe支持干预。

相关阅读

recommendation-more-help
experience-cloud-kcs-help-kbarticles