很多团队做 SAP Fiori 项目时,天然会把安全重心放在网关、认证、授权、反向代理和后端服务上,这样想并不奇怪。可一旦落到 SAPUI5 应用,界面层其实就是用户接触系统的第一道门,录入、查询、审批、下载、跳转,几乎都从这里发生。SAPUI5 作为客户端 JavaScript 框架,本身会尽力保证框架层面的安全,但应用是不是安全,最终还是落回开发者写下的控制器代码、绑定表达式、格式化器和页面逻辑上。官方文档写得很直接,SAPUI5 不是认证、会话处理、授权和加密的总包方,应用开发者和服务端框架都要各自承担责任。(SAPUI5 SDK)
企业应用和普通营销站点不太一样,前台页面上跑的往往不是一句欢迎语,而是客户资料、价格条件、物料信息、审批意见、财务金额、供应商主数据这类带业务价值的数据。只要有一处输入没有拦住,一处输出没有做对,一条日志把不该暴露的内容打到了浏览器控制台,安全问题就不会停留在理论层面,而会直接碰到真实业务。OWASP 对 XSS 的说明也很明确,这类问题不只是页面变形这么简单,还可能带来会话滥用、敏感数据泄露和伪造请求。(
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/268923.html