点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
自从Hybris 6.6.0.3起,我们在后台应用程序中遇到了麻烦。 在" https://localhost:9002/backoffice "处打开后台办公室时,Spring Security将重定向发送到" https://localhost:9002/backoffice/login.zul"。如果未检测到cookie,则使用Spring MVC矩阵变量附加会话ID,例如: " https://localhost:9002/backoffice/login.zul; jsessionid = CE6AC0708F276131587063F703587B3A"。 >
从Spring Security/MVC 4.2.4开始,默认情况下禁止使用矩阵变量,请参阅: https://docs.spring.io/spring-security/site/docs/4.2.4.RELEASE/apidocs/org/springframework/ security/web/firewall/StrictHttpFirewall.html
因此,任何使用矩阵变量的URL都不再与后台应用程序一起使用。
我们强烈需要一个使用以前使用的DefaultHttpFirewall实现替换StrictHttpFirewall的修复程序,因为我们的客户之一不允许使用cookie,因此无法再使用后台。
SAP是否正在为此修复程序?
Thx,Bechte
嗨,
首先,感谢您的举报! 不过,我不认为我们应该将StrictHttpFirewall(由spring安全默认启用)更改为DefaultHttpFirewall(请注意,现在已描述DefaultHttpFirewall)。 Spring有某些理由将此类标记为已贬低。 更好的解决方案仍然是使用StrictHttpFirewall,但使用allowSemicolon = true。
作为解决方法,我建议编辑backoffice/web/webroot/WEB-INF/backoffice-spring-security.xml文件并添加以下bean声明:
我们将检查是否有可能以可配置的方式在框架级别添加此类声明(因为根据 https://docs.spring.io/spring-security/site/docs/current/reference/html/security-filter-chain.html :
)
此致
卢卡斯
Thx Lukasz,
我希望在以后的版本(即6.6.0.4和6.7.0.1 :-)中拥有该功能
感谢您的照顾。 同时,我将使用您的解决方法,是的,您是对的,设置allowSemicolon足以使事情正常进行。
最佳贝希特
无法清除后台的功能值,请给我解决方案,如何清除后台的属性值
是什么意思? 它与关于stricthttpfirewall的问题有什么联系?
一周热门 更多>