可配置的 HTTP 响应标头提高了应用程序端点的安全性。
如果没有可配置的响应标头,Spartacus JavaScript 店面就有遭受攻击的风险。 配置响应标头集可消除该漏洞并提高 SAP Commerce Cloud 的整体安全性。 忽略 HTTP 像一头字段的配置,可能会让网站遭受一些受攻击的风险:
点击劫持攻击。 它涉及诱使用户单击覆盖的虚假界面,该界面将输入重定向到其他地方; 由 X-Frame-Options 标头阻止。
利用 XSS 漏洞。 跨站脚本是向其他安全网站注入恶意脚本; 由 Content-Security-Policy 标头阻止。
中间人攻击。 该方法利用基础设施的弱点来拦截数据; 由 Strict-Transport-Security 标头阻止。
按照设计,HTTP 标头定义允许使用附加选项定义键值对,以便在满足预设条件时应用操作和条件。此功能不需要额外的推出或功能标志;在管理 UI 中定义和保存标头配置就足够了。
如果您不小心更改了它们的属性,有几种类型的标头可能会造成安全漏洞,而不是删除它们。
不推荐进行下列操作:
修改有效负载标头,例如 Content-Length 或 Transfer-Encoding。它可能导致 HTTP 响应拆分。
修改缓存标头,例如 Cache-Control 或 Pragma。它可能导致缓存中毒。最好将此类缓存的修改留给应用程序本身。
如果决定修改安全标头,例如 Content-Security-Policy 或 X-Frame-Options,请务必小心。尽管它们的预期目的使您不太可能对端点的安全性产生负面影响,但仍然需要密切注意您正在修改的内容以及该操作的影响。
Admin UI 允许配置和管理 HTTP 响应标头集。
为整个项目定义响应标头,并将它们分配给该项目环境中的各个端点。 如果有一个标题列表,则按名称显示它们,如果没有指定标题名称,则按代码显示它们。 还可以查看使用该特定标头集的端点数量。
