深入介绍 SAP OData CSRF Token 的一些技术细节

最新推荐文章于 2025-07-24 16:48:04 发布
最新推荐文章于 2025-07-24 16:48:04 发布
阅读量225 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 一套适合 SAP UI5 开发人员循序渐进的学习教程 SAP UI5 百科全书 文章标签: csrf 前端 SAP UI5 SAP Fiori
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i042416/article/details/143235192

文章目录

笔者在过去 17 年的工作里一直深耕 SAP 技术领域,我运营了一个 500 人的技术交流群,里面讨论气氛很浓。

这不,昨晚将近凌晨时,还有朋友提问,讨论 OData 里 CSRF Token 有效期的话题。

本文就来聊聊 SAP OData CSRF Token.

01. 什么是 CSRF Token?

跨站请求伪造(Cross-Site Request Forgery,简称 CSRF)是一种网络攻击手段,它允许攻击者伪造用户的身份来执行未经授权的操作。

为了防止 CSRF 攻击,常用的一种技术手段就是 CSRF Token.

CSRF Token 是一种随机生成的防伪 Token,它由服务器颁发给客户端,并需要客户端在提交某些特定类型的请求时,将该 Token 添加到 HTTP 请求的头部字段去。

服务器验证收到的 CSRF Token 是否与用户会话中保存的 Token 匹配,以确保请求是由合法用户发出,而非由攻击者伪造。Token 的随机性使得攻击者无法轻易预测和伪造。

了解本专栏 订阅专栏 解锁全文
SAP UI5 应用读取 CSRF token 的 HTTP head 请求逻辑解析
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
02-09 1949
使用 handler 读取 token 请求的 response,这个 handler 支持的 content-type 类型:application/atomsvc+xml;url 为:https://services.odata.org/V2/Northwind/Northwind.svc/请求 token 的 HTTP 请求的 Content-type 设置逻辑,和标志位。执行了 head 请求后,响应的状态码是 200,但是。
20. 如何使用 ABAP 代码消费需要传递 CSRF tokenOData 服务
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
09-06 1219
本步骤我们继续学习一个复杂一点的场景,我们期望用 ABAP 代码触发一个 OData 服务的修改操作,使用的 HTTP 请求类型为 PUT. 因为涉及到业务数据的修改操作,所以 OData 服务协议规定,在提交这个修改操作时,HTTP 请求的头部字段,需要包含一个名叫。请求 CSRF token 的代码,同前一步骤通过 ABAP 代码调用 OData 服务的读取操作相比,一个区别就是,我们需要在 HTTP 请求的头部字段里,增加一个名叫。
SAP OData 403 Forbidden X-CSRF-TOKEN
Wriprin 的技术博客
10-24 1550
SAP OData 403 Forbidden「X-CSRF-TOKENValidierung des CSRF-Tokens fehlgeschlagen CSRF 令牌验证失败
SAP ODATA disable CSRF_TOKEN
shuishi2005的专栏
07-15 440
sap odata disable csrf_token
SAPSAP 发布HTTP接口之完整的Restful ( 含Token 验证)
沐雨烟霞的博客
12-12 8735
网上有很多实现的方式都是通过接口实现的,这次用的方式不一样。
JAVA调用SAP ODATA服务.docx
07-03
本文将详细介绍如何使用Java调用SAP ODATA服务,并针对描述中的几个关键问题进行深入探讨。 #### 1. 未经授权 (401) 在调用SAP ODATA服务时,如果出现“401 Unauthorized”错误,通常是因为服务器拒绝了请求,因为...
JAVA调用SAP ODATA服务
03-01
在Java开发中,调用SAP ODATA服务是企业级集成和数据交换的常见场景。在实际操作中,可能会遇到一些挑战,如身份验证、请求方法的使用、跨域问题以及错误处理。以下是对这些知识点的详细说明: 1. **身份验证 (401 ...
SAP OData服务调用之C#篇
IT好人-杨大山
01-11 4604
SAP OData服务调用之C#篇 版本:V1.0 编写人:杨大山 日期:2018-01-11   目 录 一、 认识ODATA 3 二、 常见异常 3 1、 远程服务器返回错误: (401) 未经授权; 3 2、 远程服务器返回错误: (404) NOT FOUND; 3 3、 HTTP/1.1 405 METHOD NOT ALLOWED; 3
去除外部系统访问SAP Odata发布的服务的CSRF的保护机制
qq_17054613的博客
06-16 778
正常发布的SAP odata因为安全原因,SAP自动启用了CSRF机制,在SAPgui内部测试的时候,会自动带出X-CSRF-Token的,如下图: 虑的非SAP产品访问SAP发布的Odata,为简化访问过程,可以去除CSRF的机制,操作步骤如下:在SICF中找打所有去除的Odata的服务,点击GUI配置,输入参数~CHECK_CSRF_TOKEN,值为0 通过SOAPUI访问该服务的时候,抬头加入参数X-Requested-With,值为X,就可以正常访问SAPodata了 ...
从一开始的网络攻防(八):CSRF
Neolock的博客
07-22 885
CSRF(跨站请求伪造)是一种攻击者利用用户身份发送恶意请求的攻击方式。攻击者通过构造伪造请求链接,诱骗已登录用户点击,从而执行敏感操作(如修改密码)。CSRF与XSS不同,它不窃取用户凭证,而是直接冒用用户权限。漏洞挖掘需关注增删改功能点,检查数据包是否缺少token和referer验证。防御措施包括:添加随机token、验证码、校验Referer字段及实施多步操作验证(如修改密码需验证旧密码)
创建一个触发csrf的恶意html
Mr_LTR的博客
07-20 340
本文介绍了在Pikachu靶场环境下,利用垂直越权漏洞实施CSRF攻击的技术方法。通过编写恶意HTML页面,伪装成登录界面,实则隐藏了用户删除操作的请求链接。当受害者访问该页面时,会触发删除操作,同时跳转到错误页面以掩盖攻击行为。文章还提出更隐蔽的攻击方式:在报错页面中嵌入JS代码,实现用户无需任何操作即可中招。这种攻击方式不仅限于删除操作,还可扩展至转账等更危险的恶意行为,展示了CSRF攻击的危害性和隐蔽性。
WebP的工作原理
lxs1660275788的博客
07-23 558
本文主要目的是向各位前端开发者介绍当前市面上比较新的图片格式WebP,文章先从介绍WebP在前端开发过程的优势出发(一、二部分),讲述了前端可以使用WebP格式图像的场景(第三部分),然后进一步介绍具体怎么转换/使用WebP格式的图像(第四部分),同时也补充了如何从0使用WebP格式转换工具cwebp(第五部分)以及几种常见图像格式的特性区别(第六部分)
tauri实用教程:阻止除控制台关闭程序外的全部手动关闭
最新发布
等我解决一个难题就开源,没开源就还在努力中
07-24 82
添加阻止除控制台kill程序外的全部手动关闭程序时弹窗以及执行对应代码的实现
web前端调试
sumdeveloper的博客
07-24 65
打开浏览器F12开发者工具,右键http请求,选择替换内容。调试完毕后,取消替换内容,把启用本地替换取消勾选即可。
快速将前端得依赖打为tar包(yarn.lock版本)并且推送至nexus私有依赖仓库(笔记)
m0_62799628的博客
07-24 66
放置在与yarn.lock同级目录下 然后再这个目录下打开终端执行 node downloadNpmPackage.js。创建js文件 文件名为downloadNpmPackage.js。
iOS上使用WebRTC推拉流的案例
qq_25218777的博客
07-23 386
代码中的 STUN 服务器使用了 Google 的公共服务器,生产环境中建议使用自己的 STUN/TURN 服务器。这个示例仅仅提供了基础的推拉流框架,你可以根据实际需求进行扩展和优化。在实际使用中,需要将代码中注释掉的信令发送部分替换为实际的网络请求。这个示例缺少信令服务器的实现,你需要自己搭建一个信令服务器。然后执行 pod install 安装库。核心类oc:WebRTCManager.m。调用OC:ViewController.m。
SPA前端路由控制触发页面刷新
北海几经夏的博客
07-23 242
以下以 React Router 为例,展示通过路由跳转触发页面刷新的实现示例:​。
CTFshow系列——命令执行Web29-33
m0_73812072的博客
07-24 438
展示ctfshow的命令执行部分解释
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汪子熙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值