2020-09-23 22:10发布
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)社区成员,我有一个场景,其中应用... 显示全部
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
社区成员,我有一个场景,其中应用程序URL以以下格式传递给外部供应商,文档号作为URL参数。 我们已经为服务器/端口部分创建了代理,并且由网络和安全团队对其进行了安全保护和列入白名单。
https://PROXY.com #ZAPPLICATION-display?EmailLink = true&DocNo = 1234&/HeaderSet/1234
问题出在URL中的文档编号(DocNo,值为1234)。 外部方(供应商)可以操纵URL并将文档编号替换为其他值。
第一个问题:有没有办法可以避免这种情况? 这种情况下的最佳做法是什么?
我已经在后端oData层的HEADERSET_GET_ENTITYSET方法中验证了DocNo,并且如果外部供应商无权访问文档编号,则会出现错误。 但是由于我已经加载了该应用程序,而且我不知道如何将用户从后端系统中退出,因此我在游戏中为时已晚。 我们有一个前端FIORI网关集线器,后端ECC系统已连接到该集线器。
第二个问题:关于我应该在哪里验证以及如何验证的任何想法? 我只是在HEADERSET_GET_ENTITYSET方法中读取URL参数。 我应该以其他方式这样做吗?
感谢您的指导。
您无法(或应该)对前端JavaScript代码进行任何操作,以阻止供应商访问与另一供应商相关的文档-这应该由 您在后端提到的常规。 但是,您的例程应返回与授权失败相关的有意义的错误,可以由您的SAPUI5应用程序正确解析该错误。 对于OData绑定更新的失败条件,我将有一个回调:1)向最终用户显示错误的对话框或消息,然后2)在关闭对话框时触发navBack事件以返回到Fiori Launchpad主页,或者 带有错误的消息吐司。
最多设置5个标签!
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 Haoba3210 的问题《UI5 Fiori-出于安全原因隐藏或屏蔽URL》','https://www.easysap.com/answer/99708/269220.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
您无法(或应该)对前端JavaScript代码进行任何操作,以阻止供应商访问与另一供应商相关的文档-这应该由 您在后端提到的常规。 但是,您的例程应返回与授权失败相关的有意义的错误,可以由您的SAPUI5应用程序正确解析该错误。 对于OData绑定更新的失败条件,我将有一个回调:1)向最终用户显示错误的对话框或消息,然后2)在关闭对话框时触发navBack事件以返回到Fiori Launchpad主页,或者 带有错误的消息吐司。
一周热门 更多>