SAP Note 1481392 - Cross Site Request Forgery Protection for ITS

Composant : SAP Internet Transaction Server - SAP GUI for HTMLBC-WD-JAV Web Dynpro JavaCA-UI5-TOL SAP UI d

Solution : https://service.sap.com/sap/support/notes/1481392 (Connexion à SAP Service Marketplace requise)

Résumé :
Cette Note SAP traite de la mise en place de la protection XSRF (Cross Site Request Forgery) pour les services ITS intégrés et externes. Elle offre un guide détaillé sur l'activation des contrôles XSRF via l'interface graphique ou SE80, et souligne l'importance d'inclure des packages de support et des patches de noyau spécifiques pour renforcer la sécurité. La note précise les étapes pour activer la protection XSRF en configurant des paramètres tels que "~XSRFCHECK", et elle décrit les méthodes d'insertion manuelle de tokens lorsque l'insertion automatique n'est pas possible. Cette note est essentielle pour les administrateurs de systèmes SAP gérant ITS 6.20 et versions ultérieures.

Mots Clés :
software component   sap_basis                      sap basis compo, select repository browser select internet service, symptom cross site request forgery, cross site request forgery, den sp patchlevel section, /sap/bc/gui/sap/, injects xsrf protection tokens, sap basis release 4, transaction sicf -> select, higher sp level

Notes associées :

1529098ITS XSRF framework as transport files
1519720Unauthorized usage of appl functionality in prod designer UI
1519704Unauthorized usage of application functionality in CNW1/CNW4
1518807
1517963Unauthorized usage of functionality in workflow (ITS)
1514483Unauthorized usage of application functionality in EA-HR
1511203Unauthorized usage of application functionality in SAP_ABA
1509506Unauthorized usage of application functionality in BCS
1509016Unauthorized usage of application functionality in SAP_HR
1507735Unauthorized use of application functions in IS-Media
1501768ITS: Config. permitted or prohibited OK codes during start
1475155ITS: ~sources param is limited to 255 chars length