ABAP RZ11 icm/HTTP/samesite 参数的含义介绍

icm/HTTP/samesite

HTTP 请求会发送到与浏览器地址栏中显示的站点不同的站点。在本例中， SameSite 属性用于控制是否发送 cookie。可以使用参数 icm/HTTP/samesite 来控制属性 SameSite 的行为。

icm/HTTP/samesite 参数简介

在 SAP 系统中，icm/HTTP/samesite 参数是用于配置 HTTP Cookies 的 SameSite 属性的。SameSite 属性用来防止跨站请求伪造（CSRF）攻击，它告诉浏览器在跨站请求时是否允许携带 Cookie。这个属性可以有三个值：None、Lax、和 Strict。

• Strict 最为严格，完全禁止跨站携带 Cookie，只有当请求来自于同一站点时，Cookie 才会被发送。
• Lax 允许部分第三方请求携带 Cookie，比如用户从另一个网站通过链接跳转到目标网站时。
• None 则表示在任何情况下，请求都会携带 Cookie，但是必须设置 Secure 属性，即只在加密的 HTTPS 连接中发送 Cookie。

使用场景

icm/HTTP/samesite 参数的配置依赖于 SAP 应用的特定需求和安全策略。例如，如果一个企业的 SAP 应用需要嵌入到其他域名的网页中，并且这些嵌入的元素需要访问 SAP 系统中设置的 Cookie，则可能需要将此参数设置为 None，以确保跨站请求能够正常工作。

在另一种情况下，如果 SAP 应用主要用于内部员工，并且大多数访问都是直接访问，没有跨站请求的需求，那么可以考虑将 icm/HTTP/samesite 设置为 Lax 或 Strict，以增强跨站请求伪造攻击的防护。

示例说明

假设一个企业有一个 SAP 应用，这个应用既提供给内部员工使用，也对外提供服务。该企业希望确保内部员工在使用时能够获得最佳体验，同时也需要确保外部服务的接入安全。

对于内部员工，他们主要是通过公司内部的门户网站访问 SAP 应用。这种情况下，icm/HTTP/samesite 可以设置为 Lax，因为员工从门户网站跳转到 SAP 应用时，Lax 配置足以保证跨站请求的 Cookie 传递，同时也能提供一定级别的安全保护。

对于对外服务的接入，如果有一些服务需要通过嵌入到其他网站的方式提供，那么就需要将 icm/HTTP/samesite 设置为 None 并确保使用 HTTPS，这样即使是从其他网站发起的请求，也能保证必要的 Cookie 被携带，确保服务的正常运行。

配置和实践

在 SAP 系统中，通过事务码 RZ11 可以查询和维护 icm/HTTP/samesite 参数。管理员可以根据实际的应用场景和安全需求，通过 RZ11 事务码进入参数维护界面，搜索 icm/HTTP/samesite 参数，并根据需要进行调整。

调整 icm/HTTP/samesite 参数时，需要考虑浏览器的兼容性，因为不同的浏览器对 SameSite 属性的支持和默认值可能有所不同。因此，进行更改前，最好测试在主要使用的浏览器上的行为，以确保更改后的设置能够满足应用需求，同时不会对用户体验产生负面影响。

总结

通过对 icm/HTTP/samesite 参数的合理配置，SAP 应用管理员可以在确保用户体验和便利性的同时，加强对跨站请求伪造攻击的防护。每个企业和应用的具体需求可能不同，因此，在实际操作中，需要根据自身的安全策略和业务需求来灵活调整此参数。