Solution : https://service.sap.com/sap/support/notes/1302734 (Connexion à SAP Service Marketplace requise)
Résumé :
Les applications basées sur navigateur utilisant ICF (telles que Web Dynpro ABAP) ne peuvent pas accéder au cookie HTTP MYSAPSSO2, posant un risque de sécurité. Pour contrer cela, à partir des versions SAP NetWeaver 7.02 et 7.10, les cookies jugés sensibles à la sécurité, y compris MYSAPSSO2 et SAP_SESSIONID_, sont créés avec l'attribut "httponly", empêchant l'accès via JavaScript depuis le navigateur. Les applications nécessitant ces cookies doivent s'adapter ou modifier le paramètre de profil "icf/set_HTTPonly_flag_on_cookies" via la transaction RZ11 pour les tests ou en modifiant définitivement le fichier de profil. Différents réglages contrôlent l'intensité de l’application de l’attribut HTTPonly sur les cookies.
Mots Clés :
icf logon cookies 2 = httponly attribute inactive, icf logon cookies 3 = httponly attribute inactive, icf cookies 1 = httponly attribute inactive, sap_sessionid_<sysid>_<client>, 0 = httponly attribute active, relevant netweaver application server, prerequisites icf applications, security-relevant cookies, browser-based applications, web dynpro abap
Notes associées :
| 1420893 | ITS Up/Down: security session management not working |
| 1322944 | |
| 1317545 | Applets/ ActiveX - HttpOnly Attr. for Cookie Sec. Protection |
| 1301591 | HTTP 400 - Session not found (Stateful HTTP communication) |