icm/HTTP/samesite
官方帮助文档:https://help.sap.com/docs/ABAP_PLATFORM_NEW/683d6a1797a34730a...
HTTP 请求会发送到与浏览器地址栏中显示的站点不同的站点。在本例中, SameSite 属性用于控制是否发送 cookie。可以使用参数 icm/HTTP/samesite 来控制属性 SameSite 的行为。
icm/HTTP/samesite 参数简介
在 SAP 系统中,icm/HTTP/samesite 参数是用于配置 HTTP Cookies 的 SameSite 属性的。SameSite 属性用来防止跨站请求伪造(CSRF)攻击,它告诉浏览器在跨站请求时是否允许携带 Cookie。这个属性可以有三个值:None、Lax、和 Strict。
Strict最为严格,完全禁止跨站携带 Cookie,只有当请求来自于同一站点时,Cookie 才会被发送。Lax允许部分第三方请求携带 Cookie,比如用户从另一个网站通过链接跳转到目标网站时。None则表示在任何情况下,请求都会携带 Cookie,但是必须设置Secure属性,即只在加密的 HTTPS 连接中发送 Cookie。
使用场景
icm/HTTP/samesite 参数的配置依赖于 SAP 应用的特定需求和安全策略。例如,如果一个企业的 SAP 应用需要嵌入到其他域名的网页中,并且这些嵌入的元素需要访问 SAP 系统中设置的 Cookie,则可能需要将此参数设置为 None,以确保跨站请求能够正常工作。
在另一种情况下,如果 SAP 应用主要用于内部员工,并且大多数访问都是直接访问,没有跨站请求的需求,那么可以考虑将 icm/HTTP/samesite 设置为 Lax 或 Strict,以增强跨站请求伪造攻击的防护。
示例说明
假设一个企业有一个 SAP 应用,这个应用既提供给内部员工使用,也对外提供服务。该企业希望确保内部员工在使用时能够获得最佳体验,同时也需要确保外部服务的接入安全。
对于内部员工,他们主要是通过公司内部的门户网站访问 SAP 应用。这种情况下,icm/HTTP/samesite 可以设置为 Lax,因为员工从门户网站跳转到 SAP 应用时,Lax 配置足以保证跨站请求的 Cookie 传递,同时也能提供一定级别的安全保护。
对于对外服务的接入,如果有一些服务需要通过嵌入到其他网站的方式提供,那么就需要将 icm/HTTP/samesite 设置为 None 并确保使用 HTTPS,这样即使是从其他网站发起的请求,也能保证必要的 Cookie 被携带,确保服务的正常运行。
配置和实践
在 SAP 系统中,通过事务码 RZ11 可以查询和维护 icm/HTTP/samesite 参数。管理员可以根据实际的应用场景和安全需求,通过 RZ11 事务码进入参数维护界面,搜索 icm/HTTP/samesite 参数,并根据需要进行调整。
调整 icm/HTTP/samesite 参数时,需要考虑浏览器的兼容性,因为不同的浏览器对 SameSite 属性的支持和默认值可能有所不同。因此,进行更改前,最好测试在主要使用的浏览器上的行为,以确保更改后的设置能够满足应用需求,同时不会对用户体验产生负面影响。
总结
通过对 icm/HTTP/samesite 参数的合理配置,SAP 应用管理员可以在确保用户体验和便利性的同时,加强对跨站请求伪造攻击的防护。每个企业和应用的具体需求可能不同,因此,在实际操作中,需要根据自身的安全策略和业务需求来灵活调整此参数。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。