在S/4 Hana web应用程序中启用HTTP安全头
我们的环境中有3-4 S/4 HANA应用程序,并且希望启用HTTP安全头,但不知道如何实现。然后我们直接接触了SAP,甚至他们的解决方案也不起作用,他们的支持团队有一个相当模糊和不满意的答案,他们说应用程序不需要这样的头安全机制来减轻各种攻击。
现在我和我的团队都无能为力了。有人做到了吗?所讨论的应用是SRM,Fiori,GRC & ROS。
回答 1
Security用户
发布于 2020-07-07 04:46:15
在添加任何标题之前,我将仔细研究它们是否会破坏应用程序的任何正常功能。像S/4 HANA这样的ERP系统是相当复杂的,利用外部安全特性可能会导致意想不到的事情。此外,它可能会使诊断任何问题变得更加困难,因为支持并不期望这样的头,因为他们认为并宣布这种问题是通过其他方法减轻的。
一旦您承认了这一点,就有可能添加标题:
SAP调度程序
来自SAP 修改HTTP请求:
如果配置了,则HTTP请求首先进入Web Dispatcher,然后由Web Dispatcher过滤请求并将其分发给SAP系统中连接的应用服务器。如果没有配置server,HTTP请求将直接发送到应用程序服务器上的Internet通信管理器(ICM)。在将HTTP请求转发到应用程序服务器之前修改它更实用。重写处理程序是作为Web调度程序和Internet通信管理器中HTTP插件的一部分实现的,它提供了执行修改操作的功能。您可以在HTTP服务器( server或Internet通信管理器)中执行不同的请求修改:
- 删除、添加和增强HTTP标头字段:您可以删除或添加header字段,也可以使用附加值增强它们。
使用语法<headerop> <name> <pattern> <value>,您的配置可以包含以下内容。
SetResponseHeader Content-Security-Policy script-src 'self'
SetResponseHeader X-Frame-Options SAMEORIGIN
SetResponseHeader X-Content-Type-Options nosniff反向代理
更普遍的情况是,如果web应用程序没有控制头的功能,则始终可以在其前面放置一个反向代理。一个轻量级的解决方案是NGINX反向代理。例如。
server {
server_name sap.example.com;
location / {
proxy_pass https://backend-sap.example.com;
add_header Content-Security-Policy "script-src 'self'";
add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
}
}https://security.stackexchange.com/questions/234304
复制相似问题
腾讯云开发者
