可配置的 HTTP 响应标头进步了应用程序端点的安全性。
如果没有可配置的响应标头,Spartacus JavaScript 店面就有蒙受攻打的危险。配置响应标头集可打消该破绽并进步 SAP Commerce Cloud 的整体安全性。疏忽 HTTP 像一头字段的配置,可能会让网站蒙受一些受攻打的危险:
- 点击劫持攻打。它波及诱使用户单击笼罩的虚伪界面,该界面将输出重定向到其余中央;由 X-Frame-Options 标头阻止。
- 利用 XSS 破绽。跨站脚本是向其余平安网站注入歹意脚本;由 Content-Security-Policy 标头阻止。
- 中间人攻打。该办法利用基础设施的弱点来拦挡数据;由 Strict-Transport-Security 标头阻止。
依照设计,HTTP 标头定义容许应用附加选项定义键值对,以便在满足预设条件时利用操作和条件。此性能不须要额定的推出或性能标记;在治理 UI 中定义和保留标头配置就足够了。
如果您不小心更改了它们的属性,有几种类型的标头可能会造成安全漏洞,而不是删除它们。
不举荐进行下列操作:
- 批改无效负载标头,例如 Content-Length 或 Transfer-Encoding。它可能导致 HTTP 响应拆分。
- 批改缓存标头,例如 Cache-Control 或 Pragma。它可能导致缓存中毒。最好将此类缓存的批改留给应用程序自身。
如果决定批改平安标头,例如 Content-Security-Policy 或 X-Frame-Options,请务必小心。只管它们的预期目标使您不太可能对端点的安全性产生负面影响,但依然须要密切注意您正在批改的内容以及该操作的影响。
Admin UI 容许配置和治理 HTTP 响应标头集。
为整个我的项目定义响应标头,并将它们调配给该我的项目环境中的各个端点。如果有一个题目列表,则按名称显示它们,如果没有指定题目名称,则按代码显示它们。还能够查看应用该特定标头集的端点数量。