可配置的HTTP响应头提高了应用端点的安全性。如果没有可配置的响应标头,SpartacusJavaScript店面就会面临受到攻击的风险。配置响应标头集可消除此漏洞并提高SAPCommerceCloud的整体安全性。忽略HTTP标头字段的配置可能会使网站面临某些攻击的风险:点击劫持攻击。它涉及诱骗用户点击虚假界面上的覆盖层,将输入重定向到其他地方;被X-Frame-Options标头阻止。利用XSS漏洞。跨站点脚本是将恶意脚本注入其他安全网站;被Content-Security-Policy标头阻止。中间人攻击。这种方法利用基础设施的弱点来拦截数据;被Strict-Transport-Security标头阻止。按照设计,HTTP标头定义允许使用附加选项定义键值对,以便在满足预设条件时应用操作和条件。此功能不需要额外的推出或功能标志;在管理UI中定义和保存标头配置就足够了。如果您不小心更改了它们的属性而不是将其删除,则有几种类型的标头可能会产生安全漏洞。不建议执行以下操作:修改有效负载标头,例如Content-Length或Transfer-Encoding。它会导致HTTP响应拆分。修改缓存标头,例如Cache-Control或Pragma。它会导致缓存中毒。最好将此类缓存的修改留给应用程序本身。如果您决定修改Content-Security-Policy或X-Frame-Options等安全标头,请务必小心。虽然它们的预期目的使您不太可能对端点的安全性产生负面影响,但密切关注您正在修改的内容以及该操作的影响仍然很重要。AdminUI允许配置和管理HTTP响应标头集。为整个项目定义响应标头并将它们分配给该项目环境中的端点。如果有标题列表,则按名称显示,如果未指定标题名称,则按代码显示。您还可以查看有多少端点使用该特定标头集。
