WAF和CDN中的AEM RUM脚本安全和性能问题
Adobe Experience Manager (AEM)在发布页面上注入Real User Monitoring (RUM)脚本,这会触发安全和性能问题,例如WAF块、过多的遥测请求和代理限制。 由于请求量大、相对脚本路径或严格的安全配置,因此会出现这些问题。 要解决此问题,请允许端点、调整代理规则并验证调查结果。
描述 description
环境
Adobe Experience Manager as a Cloud Service (AEMaaCS)
问题/症状
- WAF或CDN阻止对
/.rum/100的重复POST请求,并显示错误,如 403 访问被拒绝。 - 此环境显示对
/.rum/100的重复POST请求,这会导致过多的网络活动或速率限制锁定。 - 安全扫描标记不熟悉的脚本路径,如
/.rum/@adobe/helix-rum-js@2/dist/rum-standalone.js。 - 反向代理会阻止相对RUM路径,例如
/.rum/...,从而阻止加载RUM脚本。 - CDN添加意外的查询字符串,这会触发重复的RUM重试和WAF块。
根本原因
当AEM RUM脚本(默认情况下AEM as a Cloud Service为操作遥测注入该脚本)向相对端点(如/.rum/100)发送频繁请求时,会出现此问题。 严格的CDN、WAF或代理配置将请求模式、相对路径或修改的请求视为可疑活动,从而导致阻塞的通信、重复重试或安全发现。
解决方法 resolution
按照以下步骤确定RUM问题类型并应用适当的修复:
- 通过将观察到的行为与反向代理阻止、过多的遥测请求、安全扫描程序发现或禁用RUM请求等情况进行比较,识别问题类型。
- 通过在CDN、WAF或代理配置和CSP中允许使用rum.hlx.page来解决反向代理阻塞,以便脚本从完全限定的域而不是相对路径加载。
- 通过允许遥测终结点
/.rum/100并确认不再阻止合法的遥测通信来解决WAF阻塞问题。 - 通过查看标记的RUM路径并确认Adobe注入脚本且路径安全来解决安全扫描结果。
- 在需要禁用RUM脚本时,通过打开支持请求来禁用或限制RUM,因为无法通过代码禁用它。
- 在任何RUM配置更改后清除CDN缓存,以删除过时的RUM脚本并应用更新的行为。
- 验证RUM报表,方法是确认页面加载正确,脚本使用目标域或保持禁用状态,并且错误不再显示在WAF或CDN日志中。
何时上报:
- 在允许端点并更新代理、CDN或WAF配置后,问题继续存在。
- 遥测请求仍会触发重复块或高请求尖峰。
- 配置更改后,RUM脚本继续加载或行为不正确。
- 禁用RUM脚本需要Adobe支持干预。
相关阅读
- AEM操作遥测和RUM概述
- 集成问题疑难解答
- AEM as a Cloud Service安全概述
- Adobe Experience Manager中的Security Service Users
recommendation-more-help
experience-cloud-kcs-help-kbarticles