点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
大家好,我们希望通过互联网为我们的公司门户网站(EP 7.50)服务。 因此,我们对门户进行了漏洞测试。 在报告中,有关mysapsso2 cookie包含用户ID的风险。 解决方案非常简单; 我们将ume.logon.security.enforce_secure_cookie设置为true。 之后,我们无法将后端ECC系统与webgui连接。 因为userid没有通过cookie传递到ECC,并且SSO不适用于webgui。 我怎样才能解决这个问题? 如果我更改" ume.logon.security.enforce_secure_cookie = false",一切都很好。
嗨Mehdi,
请注意SAP注释 2068872中的以下注释-HttpOnly和 安全cookie属性
注意:请记住,当服务器使用安全属性设置cookie时,一旦浏览器接收到cookie,浏览器将仅发送包含以下内容的请求的cookie: https,而不是未加密的http请求。 因此,如下所述激活cookie的Secure属性可能会破坏当前不使用https并将cookie用于会话跟踪或身份验证的当前工作方案。 激活"安全"属性后,应对所有请求使用https测试场景。
根据上述说明,请检查您的后端ECC系统是否已配置https。
最佳问候,< br> Kashyap Shah
一周热门 更多>