大家好,虚拟主机,
这是我的第一篇SAP博客文章,物联网教室,实时大数据,我注意到关于使用SAP web dispatcher实现HSTS(HTTP严格传输安全)的信息不多。
我相信这篇博客文章将帮助您了解如何在SAP web dispatcher中实现HSTS。
有关HSTS的更多信息可以在wiki页面中查看:HSTS
实现:
HSTS可以在web dispatcher中配置,也可以在后端服务器(ICM)中配置,前提是后端版本支持HSTS。如果不是更简单的方法,允许在web dispatcher级别修改头。
SAP note 2042819中提到了最低补丁/内核级别。
SSL/TLS在环境中实现。为系统安装了有效的安全证书。
HSTS就是要在URL中嵌入安全头,并指定浏览器(客户端)不需要服务器反复确认的过期时间,大数据可视化平台,以便将HTTP转换为HTTPS,避免中间人攻击(MITM)。
在SAP中实现SSL之后门户url–开发者信息如下所示,没有任何安全标头。
如您所见,响应标头不包含"严格传输安全"。
以下参数已添加到web dispatcher$(DIR\u PROFILE)\icm_过滤器.txt文件
if%{HTTP\u HOST}regimatch*
SetResponseHeader严格传输安全"max age=;includeSubDomains"
其中是web dispatcher或ICM主机,"max age"是客户端(浏览器)不会向服务器请求安全标头信息的时间(以秒为单位)。这通常是保持31556952秒(1年)。
包含子域'将确保url子域也将有HSTS标记嵌入其中。
否则创建重定向到HTTPS规则,如下面所示,然后添加参数:
如果%{SERVER\u PROTOCOL}!stricmp"https"
regirecturl/(*)https://:/$1
完成后,保存文件并重新启动web dispatcher。访问url并打开开发人员信息,在安全标头中,为所有子页设置下面的HSTS标头,并且在设置"最长期限"之前不会过期。
另请参阅SAP WD的最佳实践以获取更安全的配置:
SAP webdisp最佳实践。有关HSTS的更多详细信息,请参阅SAP博客。
在Google Chrome中,大数据是什么意思,可以在
下查看HSTS配置chrome://net internals/#hsts>域安全策略
检查HSTS信息是否保存在浏览器(客户端)中插入域名并进行查询。
在chrome同一页面中临时清除HSTS信息有选项可供选择相同。
请让我知道你的反馈?。