SAP 电商云 Automation Engine 关于 HTTP 请求响应头的一些配置

举报
汪子熙 发表于 2022/11/06 15:02:49 2022/11/06
【摘要】 可配置的 HTTP 响应标头提高了应用程序端点的安全性。如果没有可配置的响应标头,Spartacus JavaScript 店面就有遭受攻击的风险。 配置响应标头集可消除该漏洞并提高 SAP Commerce Cloud 的整体安全性。 忽略 HTTP 像一头字段的配置,可能会让网站遭受一些受攻击的风险:点击劫持攻击。 它涉及诱使用户单击覆盖的虚假界面,该界面将输入重定向到其他地方; 由 X...

可配置的 HTTP 响应标头提高了应用程序端点的安全性。

如果没有可配置的响应标头,Spartacus JavaScript 店面就有遭受攻击的风险。 配置响应标头集可消除该漏洞并提高 SAP Commerce Cloud 的整体安全性。 忽略 HTTP 像一头字段的配置,可能会让网站遭受一些受攻击的风险:

  • 点击劫持攻击。 它涉及诱使用户单击覆盖的虚假界面,该界面将输入重定向到其他地方; 由 X-Frame-Options 标头阻止。
  • 利用 XSS 漏洞。 跨站脚本是向其他安全网站注入恶意脚本; 由 Content-Security-Policy 标头阻止。
  • 中间人攻击。 该方法利用基础设施的弱点来拦截数据; 由 Strict-Transport-Security 标头阻止。

按照设计,HTTP 标头定义允许使用附加选项定义键值对,以便在满足预设条件时应用操作和条件。此功能不需要额外的推出或功能标志;在管理 UI 中定义和保存标头配置就足够了。

如果您不小心更改了它们的属性,有几种类型的标头可能会造成安全漏洞,而不是删除它们。

不推荐进行下列操作:

  • 修改有效负载标头,例如 Content-Length 或 Transfer-Encoding。它可能导致 HTTP 响应拆分。

  • 修改缓存标头,例如 Cache-Control 或 Pragma。它可能导致缓存中毒。最好将此类缓存的修改留给应用程序本身。

如果决定修改安全标头,例如 Content-Security-Policy 或 X-Frame-Options,请务必小心。尽管它们的预期目的使您不太可能对端点的安全性产生负面影响,但仍然需要密切注意您正在修改的内容以及该操作的影响。

Admin UI 允许配置和管理 HTTP 响应标头集。

为整个项目定义响应标头,并将它们分配给该项目环境中的各个端点。 如果有一个标题列表,则按名称显示它们,如果没有指定标题名称,则按代码显示它们。 还可以查看使用该特定标头集的端点数量。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。