可配置的 HTTP 響應標頭提高了應用程式端點的安全性。

如果沒有可配置的響應標頭，Spartacus JavaScript 店面就有遭受攻擊的風險。 配置響應標頭集可消除該漏洞並提高 SAP Commerce Cloud 的整體安全性。 忽略 HTTP 像一頭欄位的配置，可能會讓網站遭受一些受攻擊的風險：

• 點選劫持攻擊。 它涉及誘使使用者單擊覆蓋的虛假介面，該介面將輸入重定向到其他地方； 由 X-Frame-Options 標頭阻止。
• 利用 XSS 漏洞。 跨站指令碼是向其他安全網站注入惡意指令碼； 由 Content-Security-Policy 標頭阻止。
• 中間人攻擊。 該方法利用基礎設施的弱點來攔截資料； 由 Strict-Transport-Security 標頭阻止。

按照設計，HTTP 標頭定義允許使用附加選項定義鍵值對，以便在滿足預設條件時應用操作和條件。此功能不需要額外的推出或功能標誌；在管理 UI 中定義和儲存標頭配置就足夠了。

如果您不小心更改了它們的屬性，有幾種型別的標頭可能會造成安全漏洞，而不是刪除它們。

不推薦進行下列操作：

• 修改有效負載標頭，例如 Content-Length 或 Transfer-Encoding。它可能導致 HTTP 響應拆分。

• 修改快取標頭，例如 Cache-Control 或 Pragma。它可能導致快取中毒。最好將此類快取的修改留給應用程式本身。

如果決定修改安全標頭，例如 Content-Security-Policy 或 X-Frame-Options，請務必小心。儘管它們的預期目的使您不太可能對端點的安全性產生負面影響，但仍然需要密切注意您正在修改的內容以及該操作的影響。

Admin UI 允許配置和管理 HTTP 響應標頭集。

為整個專案定義響應標頭，並將它們分配給該專案環境中的各個端點。 如果有一個標題列表，則按名稱顯示它們，如果沒有指定標題名稱，則按程式碼顯示它們。 還可以檢視使用該特定標頭集的端點數量。