searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

SAP 电商云 Automation Engine 关于 HTTP 请求响应头的一些配置

2024-01-08 07:57:09
1
0

可配置的 HTTP 响应标头提高了应用程序端点的安全性。

如果没有可配置的响应标头,Spartacus JavaScript 店面就有遭受攻击的风险。 配置响应标头集可消除该漏洞并提高 SAP Commerce Cloud 的整体安全性。 忽略 HTTP 像一头字段的配置,可能会让网站遭受一些受攻击的风险:

点击劫持攻击。 它涉及诱使用户单击覆盖的虚假界面,该界面将输入重定向到其他地方; 由 X-Frame-Options 标头阻止。
利用 XSS 漏洞。 跨站脚本是向其他安全网站注入恶意脚本; 由 Content-Security-Policy 标头阻止。
中间人攻击。 该方法利用基础设施的弱点来拦截数据; 由 Strict-Transport-Security 标头阻止。
按照设计,HTTP 标头定义允许使用附加选项定义键值对,以便在满足预设条件时应用操作和条件。此功能不需要额外的推出或功能标志;在管理 UI 中定义和保存标头配置就足够了。

如果您不小心更改了它们的属性,有几种类型的标头可能会造成安全漏洞,而不是删除它们。

不推荐进行下列操作:

修改有效负载标头,例如 Content-Length 或 Transfer-Encoding。它可能导致 HTTP 响应拆分。

修改缓存标头,例如 Cache-Control 或 Pragma。它可能导致缓存中毒。最好将此类缓存的修改留给应用程序本身。

如果决定修改安全标头,例如 Content-Security-Policy 或 X-Frame-Options,请务必小心。尽管它们的预期目的使您不太可能对端点的安全性产生负面影响,但仍然需要密切注意您正在修改的内容以及该操作的影响。

Admin UI 允许配置和管理 HTTP 响应标头集。

为整个项目定义响应标头,并将它们分配给该项目环境中的各个端点。 如果有一个标题列表,则按名称显示它们,如果没有指定标题名称,则按代码显示它们。 还可以查看使用该特定标头集的端点数量。
 

0条评论
0 / 1000
老程序员
1097文章数
1粉丝数
老程序员
1097 文章 | 1 粉丝
原创

SAP 电商云 Automation Engine 关于 HTTP 请求响应头的一些配置

2024-01-08 07:57:09
1
0

可配置的 HTTP 响应标头提高了应用程序端点的安全性。

如果没有可配置的响应标头,Spartacus JavaScript 店面就有遭受攻击的风险。 配置响应标头集可消除该漏洞并提高 SAP Commerce Cloud 的整体安全性。 忽略 HTTP 像一头字段的配置,可能会让网站遭受一些受攻击的风险:

点击劫持攻击。 它涉及诱使用户单击覆盖的虚假界面,该界面将输入重定向到其他地方; 由 X-Frame-Options 标头阻止。
利用 XSS 漏洞。 跨站脚本是向其他安全网站注入恶意脚本; 由 Content-Security-Policy 标头阻止。
中间人攻击。 该方法利用基础设施的弱点来拦截数据; 由 Strict-Transport-Security 标头阻止。
按照设计,HTTP 标头定义允许使用附加选项定义键值对,以便在满足预设条件时应用操作和条件。此功能不需要额外的推出或功能标志;在管理 UI 中定义和保存标头配置就足够了。

如果您不小心更改了它们的属性,有几种类型的标头可能会造成安全漏洞,而不是删除它们。

不推荐进行下列操作:

修改有效负载标头,例如 Content-Length 或 Transfer-Encoding。它可能导致 HTTP 响应拆分。

修改缓存标头,例如 Cache-Control 或 Pragma。它可能导致缓存中毒。最好将此类缓存的修改留给应用程序本身。

如果决定修改安全标头,例如 Content-Security-Policy 或 X-Frame-Options,请务必小心。尽管它们的预期目的使您不太可能对端点的安全性产生负面影响,但仍然需要密切注意您正在修改的内容以及该操作的影响。

Admin UI 允许配置和管理 HTTP 响应标头集。

为整个项目定义响应标头,并将它们分配给该项目环境中的各个端点。 如果有一个标题列表,则按名称显示它们,如果没有指定标题名称,则按代码显示它们。 还可以查看使用该特定标头集的端点数量。
 

文章来自个人专栏
SAP 技术
1097 文章 | 1 订阅
0条评论
0 / 1000
请输入你的评论
0
0