今天我遇到了(突然)SAP Netweaver Gateway停止加入他自己发布的CSRF令牌的问题。
检查网络跟踪,一切都很好。客户端使用GET方法和HTTP标头
获取令牌X-CSRF-Token: Fetch
接收一个,然后使用收到的令牌立即发出POST请求并获得403 Forbidden状态,并且响应正文“CSRF令牌无法验证”(或类似)
答案 0 :(得分:0)
默认情况下,CSRF保护仅在SAP Netweaver Gateway中通过HTTPS启用。 如何启用基于HTTP的CSRF(以及为什么不这样做)在以下SAP注释中描述:
1896961 - HTTP/HTTPS Configuration for SAP NetWeaver Gateway
注意的重点:
...将实例配置文件参数
login/ticket_only_by_https设置为0 ...