SAP資格過去問ならSAPnavi

NoteやStripe決済で安全にSAP過去問を購入することができます。
領収書発行可能 / 即時入手可能

SAP過去問 (SAP Exam)

CSRF Protection

世界一わかりやすいSAPの教科書 入門編
世界一わかりやすいSAPの教科書 入門編
秀和システム
¥1,870(2024/11/20 23:32時点)
Amazonの商品レビュー・口コミを見る
Amazon
楽天
図解入門 よくわかる最新SAPの導入と運用 (How-nual図解入門Visual Guide Book)
図解入門 よくわかる最新SAPの導入と運用 (How-nual図解入門Visual Guide Book)
秀和システム
¥2,420(2024/11/21 03:05時点)
Amazonの商品レビュー・口コミを見る
Amazon
楽天

使用する

ABAPサーバーへのRESTクライアントの変更要求(PUT、POST、およびDELETE)で、クライアントはCSRF(Cross-Site Request Forgery)トークンを提供する必要があります。

このようなトークンは、ABAPサーバーへの以前のサービスコールを介して取得できます。このため、最初に変更のない呼び出し(GET、HEAD、OPTIONS)で、クライアントはHTTPヘッダーX-CSRF-Tokenを値Fetchに設定して、このトークンを取得する必要があります。CSRFトークンは、同じヘッダーでABAPサーバーによって返され、ヘッダーX-CSRF-Tokenを使用して後続のサーバー状態変更呼び出しに使用できます。

このヘッダーがサーバーの状態を変更するREST呼び出しに存在しない場合、サーバーはHTTP 403( “Forbidden”)リターンコードで応答し、HTTPヘッダーは “Required”に設定され、エラーテキスト(たとえば、 “CSRF token検証に失敗しました」)が返されます。

プロセス

これは、RESTクライアントでCSRFトークンヘッダーフェッチリクエストを設定するためのコードフラグメントです。

            lo_rest_client->set_request_field(    name  = if_rest_request=>gc_header_csrf_token    value = 'Fetch' ).

フェッチ値を使用して呼び出しが正常に応答すると、返されたCSRFトークンは、後で状態を変更するREST要求のために保持できます。これは、成功したサーバー応答からCSRFトークンを読み取るためのコードフラグメントです。

            data: lv_csrf_token type string.  lv_csrf_token = lo_rest_client->get_header_field(     name = if_rest_request=>gc_header_csrf_token ).

すぐに出てくる質問:CSRFトークンを今どのくらい使用できますか?

CSRFトークンの有効性は、ABAPコンポーネントSAP_BASISのリリースと、セキュリティセッション管理(SAPクライアントの粒度でトランザクションSICF_SESSIONSを介して制御される)の有効化に依存します。

  1. リリース<7.03/7.31またはセキュリティセッション管理が非アクティブです:独自のCSRF Coo​​kieが生成され(sap-XSRF_ <SystemID> _ <SAPClient>)、このCSRFトークンは24時間(86400秒)有効です。

  2. リリース>=7.03 / 7.31、有効性はセキュリティセッションにバインドされます。これは、システムパラメータhttp / security_session_timeout値に依存します(このパラメータの詳細については、トランザクションRZ11を参照してください)。これらのリリースでは、デフォルトでセキュリティセッション管理がアクティブになっています。

タイトルとURLをコピーしました