关于sap:SAP-电商云-Automation-Engine-关于-HTTP-请求响应头的一些配置

41次阅读

共计 793 个字符,预计需要花费 2 分钟才能阅读完成。

可配置的 HTTP 响应标头进步了应用程序端点的安全性。

如果没有可配置的响应标头,Spartacus JavaScript 店面就有蒙受攻打的危险。配置响应标头集可打消该破绽并进步 SAP Commerce Cloud 的整体安全性。疏忽 HTTP 像一头字段的配置,可能会让网站蒙受一些受攻打的危险:

  • 点击劫持攻打。它波及诱使用户单击笼罩的虚伪界面,该界面将输出重定向到其余中央;由 X-Frame-Options 标头阻止。
  • 利用 XSS 破绽。跨站脚本是向其余平安网站注入歹意脚本;由 Content-Security-Policy 标头阻止。
  • 中间人攻打。该办法利用基础设施的弱点来拦挡数据;由 Strict-Transport-Security 标头阻止。

依照设计,HTTP 标头定义容许应用附加选项定义键值对,以便在满足预设条件时利用操作和条件。此性能不须要额定的推出或性能标记;在治理 UI 中定义和保留标头配置就足够了。

如果您不小心更改了它们的属性,有几种类型的标头可能会造成安全漏洞,而不是删除它们。

不举荐进行下列操作:

  • 批改无效负载标头,例如 Content-Length 或 Transfer-Encoding。它可能导致 HTTP 响应拆分。
  • 批改缓存标头,例如 Cache-Control 或 Pragma。它可能导致缓存中毒。最好将此类缓存的批改留给应用程序自身。

如果决定批改平安标头,例如 Content-Security-Policy 或 X-Frame-Options,请务必小心。只管它们的预期目标使您不太可能对端点的安全性产生负面影响,但依然须要密切注意您正在批改的内容以及该操作的影响。

Admin UI 容许配置和治理 HTTP 响应标头集。

为整个我的项目定义响应标头,并将它们调配给该我的项目环境中的各个端点。如果有一个题目列表,则按名称显示它们,如果没有指定题目名称,则按代码显示它们。还能够查看应用该特定标头集的端点数量。

正文完
 0