Ansicht
Dokumentation
ABENXSS_SCRTY - XSS SCRTY
ABAP Short Reference BAL_S_LOG - Application Log: Log header dataDiese Dokumentation steht unter dem Copyright der SAP AG.
Cross Site Scripting
Cross Site Scripting (XSS) ist ein Angriff auf einen Web-Server über eine Web-Anwendung, beispielsweise über eine manipulierte HTML-Seite, die in einem Browser angezeigt wird. Cross Site Scripting ist ein sehr umfangreiches Thema, das hier nicht einmal ansatzweise behandelt werden kann. In aller Regel kommt ein ABAP-Anwendungsentwickler auch nicht selbst mit der direkten Erstellung von Web-Seiten in Berührung. Diese sind normalerweise durch entsprechende Frameworks wie SAPUI5, Web Dynpro oder Web Services verschalt und für die notwendige Sicherheit wird innerhalb der Frameworks gesorgt.
Nur in den seltenen Fällen, in denen ein ABAP-Programm, das nicht Teil eines solchen Framework ist, selbst eine HTML-Seite generiert und diese beispielsweise direkt über das Internet Communication Framework (Transaktion SICF) zur Verfügung stellt, muss auch innerhalb dieses Programms für die entsprechende Sicherheit gesorgt werden. Hierfür dient vor allem die eingebaute Funktion escape. Andere Maskierungsmethoden wie z.B. der Klassen CL_HTTP_UTILITY, CL_HTTP_SERVER und CL_HTTP_CLIENT sind veraltet und sollten nicht mehr verwendet werden.
Hinweis
Business Server Pages (BSP) stellen eine Ausnahme von obiger Regel dar: Bei der Erstellung von Business Server Pages können auch ABAP-Anwendungsentwickler direkt mit HTML in Berührung kommen und müssen dann für entsprechende Sicherheitsvorkehrungen sorgen. Insbesondere ist für die HTMLB-Bibliothek das Attribut <htmlb:content forceEncode="ENABLED"> zu setzen und im Attribut design des gleichen Tags dürfen keine veralteten Werte wie CLASSIC oder DESIGN2002 mehr angegeben werden.
- Das Beispiel Zeichenkettenfunktionen, escape für XSS zeigt ein einfaches Cross Site Scripting, das bei fehlender Maskierung einer Eingabe möglich ist, wenn diese Eingabe auf einer generierten HTML-Seite verwendet wird.
- Im Beispiel zu ICF-Services verwendet die Klasse CL_HTTP_EXT_SERVICE_DEMO die eingebaute Funktion escape, um Cross Site Scripting zu verhindern.
CPI1466 during Backup rdisp/max_wprun_time - Maximum work process run time
Diese Dokumentation steht unter dem Copyright der SAP AG.
Length: 3423 Date: 20240523 Time: 114954 sap01-206 ( 94 ms )
