SAP 电商云 Automation Engine 关于 HTTP 请求响应头的一些配置

简介: SAP 电商云 Automation Engine 关于 HTTP 请求响应头的一些配置

可配置的 HTTP 响应标头提高了应用程序端点的安全性。


如果没有可配置的响应标头,Spartacus JavaScript 店面就有遭受攻击的风险。 配置响应标头集可消除该漏洞并提高 SAP Commerce Cloud 的整体安全性。 忽略 HTTP 像一头字段的配置,可能会让网站遭受一些受攻击的风险:


点击劫持攻击。 它涉及诱使用户单击覆盖的虚假界面,该界面将输入重定向到其他地方; 由 X-Frame-Options 标头阻止。

利用 XSS 漏洞。 跨站脚本是向其他安全网站注入恶意脚本; 由 Content-Security-Policy 标头阻止。

中间人攻击。 该方法利用基础设施的弱点来拦截数据; 由 Strict-Transport-Security 标头阻止。

按照设计,HTTP 标头定义允许使用附加选项定义键值对,以便在满足预设条件时应用操作和条件。此功能不需要额外的推出或功能标志;在管理 UI 中定义和保存标头配置就足够了。


如果您不小心更改了它们的属性,有几种类型的标头可能会造成安全漏洞,而不是删除它们。


不推荐进行下列操作:


修改有效负载标头,例如 Content-Length 或 Transfer-Encoding。它可能导致 HTTP 响应拆分。


修改缓存标头,例如 Cache-Control 或 Pragma。它可能导致缓存中毒。最好将此类缓存的修改留给应用程序本身。


如果决定修改安全标头,例如 Content-Security-Policy 或 X-Frame-Options,请务必小心。尽管它们的预期目的使您不太可能对端点的安全性产生负面影响,但仍然需要密切注意您正在修改的内容以及该操作的影响。


Admin UI 允许配置和管理 HTTP 响应标头集。


为整个项目定义响应标头,并将它们分配给该项目环境中的各个端点。 如果有一个标题列表,则按名称显示它们,如果没有指定标题名称,则按代码显示它们。 还可以查看使用该特定标头集的端点数量。

相关文章
|
1天前
|
缓存 网络协议 JavaScript
【HTTP】构造HTTP请求和状态码
【HTTP】构造HTTP请求和状态码
10 1
【HTTP】构造HTTP请求和状态码
|
1天前
|
存储 Java 程序员
【HTTP】请求“报头”,Referer 和 Cookie
【HTTP】请求“报头”,Referer 和 Cookie
9 1
【HTTP】请求“报头”,Referer 和 Cookie
|
1天前
|
安全 应用服务中间件 Shell
nginx配置https的ssl证书和域名
nginx配置https的ssl证书和域名
|
1天前
|
JSON 缓存 JavaScript
【HTTP】请求“报头”(Host、Content-Length/Content-Type、User-Agent(简称 UA))
【HTTP】请求“报头”(Host、Content-Length/Content-Type、User-Agent(简称 UA))
8 1
|
3天前
|
缓存 移动开发 前端开发
HTTP请求走私漏洞原理与利用手段分析
HTTP请求走私漏洞原理与利用手段分析
12 1
|
4天前
|
JSON 网络协议 网络安全
详解新一代 HTTP 请求库:httpx
详解新一代 HTTP 请求库:httpx
19 1
|
3天前
|
API
使用`System.Net.WebClient`类发送HTTP请求来调用阿里云短信API
使用`System.Net.WebClient`类发送HTTP请求来调用阿里云短信API
10 0
|
3天前
|
安全 网络安全 数据安全/隐私保护
HTTPS 请求中的证书验证详解(Python版)
HTTPS 请求中的证书验证详解(Python版)
7 0
|
Java Apache
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html><head><meta http-equiv="Cont
hbase从集群中有8台regionserver服务器,已稳定运行了5个多月,8月15号,发现集群中4个datanode进程死了,经查原因是内存 outofMemory了(因为这几台机器上部署了spark,给spark开的...
807 0
|
Web App开发 前端开发

热门文章

最新文章