ファイアウォールが特殊文字をブロックしている

セキュリティ・レイヤーがブロックするURLには、"@"や"$"のような特定の変数や特殊文字が含まれている。 セキュリティルールの中には、LiferayのデフォルトJSファイルをダウンロードするときに使用するURLに"@"や"$"などの特殊文字を許可しないものがあります。

• クロスサイト・スクリプティング(XSS)を防ぐため、ユーザーが入力した値は出力時にエスケープされます。 統合機能をサポートするために、Liferay DXPは入力をエンコードしません。 データは、ユーザーによって提出されたオリジナルの形式で保存されます。 Liferay DXPには、CSRF攻撃、ローカルファイルインクルージョン、オープンリダイレクト、危険なタイプのファイルのアップロードと提供、コンテンツスニッフィング、クリックジャッキング、パストラバーサル、その他多くの一般的な攻撃に対する防御が組み込まれています。 ここで見ることができます： Introduction-to-Securing-Liferay-DXP

• WAFでXSSのルールを実装することは不要であり、Liferayのインストールを壊してしまうので、やらないことをお勧めします。 一方、リンクのエンコーディングを変更すると、他のお客様の既存のファイアウォールの設定が壊れる可能性があります。
• 残念なことに、このような設定を支援するための公式なドキュメントは、特に複数のWAFプロバイダーが存在することを考えると、今のところありません。
• その結果、コンシューマができることは、ファイアウォールルールを調整するか、特定のDXPアップデートのportal-ext.propertiesファイルを参照することである。
• また、特定のLiferay URLを自分の環境でホワイトリストに登録できるかどうか確認することで、このプロセスを迅速に行うことができます。