公眾號(hào)：matinal

前言部分

我們都知道web程序都有潛在的安全隱患問(wèn)題，那么SAP HANA XS的JavaScript也是一樣，使用服務(wù)器端JavaScript編寫(xiě)應(yīng)用程序代碼，也有潛在的外部攻擊（和風(fēng)險(xiǎn)）。

注意事項(xiàng)

下面列出幾點(diǎn)注意事項(xiàng)（歡迎閱讀者補(bǔ)充說(shuō)明）：

1、SSL/HTTPS

為SAP HANA應(yīng)用程序所需的入站通信啟用安全HTTP（HTTPS）。

2、Injection flaws

在SAP HANA擴(kuò)展應(yīng)用服務(wù)（SAP HANA XS）的上下文中，注入缺陷涉及SQL注入，修改URL以擴(kuò)展原始請(qǐng)求的范圍。

3、跨站腳本（XSS）

基于Web的漏洞，涉及將JavaScript注入到鏈接中的攻擊者，目的是在目標(biāo)計(jì)算機(jī)上運(yùn)行注入的代碼。

4、認(rèn)證和會(huì)話(huà)管理不正確

身份驗(yàn)證或會(huì)話(huà)管理功能中的漏洞或缺陷允許攻擊者模仿用戶(hù)并訪(fǎng)問(wèn)未經(jīng)授權(quán)的系統(tǒng)和數(shù)據(jù)。

5、不安全的直接對(duì)象引用

應(yīng)用程序缺少目標(biāo)對(duì)象的正確認(rèn)證機(jī)制。
跨站點(diǎn)請(qǐng)求偽造（XSRF）利用在同一Web瀏覽器會(huì)話(huà)中運(yùn)行的不同網(wǎng)站之間存在的信任邊界。

6、安全配置不正確

針對(duì)安全配置進(jìn)行攻擊，例如認(rèn)證機(jī)制和授權(quán)過(guò)程。

7、不安全的加密存儲(chǔ)

敏感信息（如登錄憑據(jù)）不能安全地存儲(chǔ)，例如使用加密工具。

8、缺少對(duì)URL訪(fǎng)問(wèn)的限制

敏感信息（如登錄憑據(jù)）被暴露。

9、傳輸層保護(hù)不足

可以監(jiān)控網(wǎng)絡(luò)流量，攻擊者可以竊取敏感信息，如登錄憑據(jù)數(shù)據(jù)。

10、重定向和轉(zhuǎn)發(fā)無(wú)效

Web應(yīng)用程序?qū)⒂脩?hù)重定向到其他頁(yè)面或以類(lèi)似的方式使用內(nèi)部轉(zhuǎn)發(fā)。

11、XML處理問(wèn)題

與處理XML作為輸入或生成XML作為輸出相關(guān)的潛在安全問(wèn)題。

總結(jié)

以上是生活随笔為你收集整理的javascript用户登录_SAP HANA XS的JavaScript安全事项的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。