SAP 电商云 Automation Engine 关于 HTTP 请求响应头的一些配置

可配置的 HTTP 响应标头提高了应用程序端点的安全性。

如果没有可配置的响应标头，Spartacus JavaScript 店面就有遭受攻击的风险。 配置响应标头集可消除该漏洞并提高 SAP Commerce Cloud 的整体安全性。 忽略 HTTP 像一头字段的配置，可能会让网站遭受一些受攻击的风险：

• 点击劫持攻击。 它涉及诱使用户单击覆盖的虚假界面，该界面将输入重定向到其他地方； 由 X-Frame-Options 标头阻止。
• 利用 XSS 漏洞。 跨站脚本是向其他安全网站注入恶意脚本； 由 Content-Security-Policy 标头阻止。
• 中间人攻击。 该方法利用基础设施的弱点来拦截数据； 由 Strict-Transport-Security 标头阻止。

按照设计，HTTP 标头定义允许使用附加选项定义键值对，以便在满足预设条件时应用操作和条件。此功能不需要额外的推出或功能标志；在管理 UI 中定义和保存标头配置就足够了。

如果您不小心更改了它们的属性，有几种类型的标头可能会造成安全漏洞，而不是删除它们。

不推荐进行下列操作：

• 修改有效负载标头，例如 Content-Length 或 Transfer-Encoding。它可能导致 HTTP 响应拆分。

• 修改缓存标头，例如 Cache-Control 或 Pragma。它可能导致缓存中毒。最好将此类缓存的修改留给应用程序本身。

如果决定修改安全标头，例如 Content-Security-Policy 或 X-Frame-Options，请务必小心。尽管它们的预期目的使您不太可能对端点的安全性产生负面影响，但仍然需要密切注意您正在修改的内容以及该操作的影响。

Admin UI 允许配置和管理 HTTP 响应标头集。

为整个项目定义响应标头，并将它们分配给该项目环境中的各个端点。 如果有一个标题列表，则按名称显示它们，如果没有指定标题名称，则按代码显示它们。 还可以查看使用该特定标头集的端点数量。