今天我遇到了(突然)SAP网关停止接受他自己发行的CSRF令牌的问题。
检查网络跟踪,一切正常。客户端使用 GET 方法和 HTTP 标头获取令牌
X-CSRF-Token: Fetch
接收一个,然后使用收到的令牌立即发出 POST 请求,并获得 403 禁止状态,响应正文为“CSRF 令牌无法验证”(或类似)
问问题
2764 次
1 回答
1
默认情况下,CSRF 保护仅在 SAP Netweaver Gateway 中通过 HTTPS 启用。以下 SAP Note 中描述了如何通过 HTTP 启用 CSRF(以及为什么不这样做):
1896961 - SAP NetWeaver 网关的 HTTP/HTTPS 配置
注意的重要一点:
... 将实例配置文件参数设置
login/ticket_only_by_https为 0...
于 2014-12-17T09:12:16.637 回答