In der aktuellen Version wurden zur weiteren Verbesserung der Sicherheit mehrere Änderungen vorgenommen. Folgende xSuite-Parameter (Transaktion /WMD/XF_PARAM) wurden hinzugefügt:

XF_VSCAN_PROFILE

Dieser Parameter kann genutzt werden, um ein bestimmtes Virenscanner-Profil festzulegen. Wenn der Parameter nicht gesetzt ist, wird das Standardprofil /SCMS/KPRO_CREATE verwendet, was dem SAP-Standardwert entspricht.

Dies betrifft Uploads aus xSuite Web und SAP Fiori inklusive der Zahlungsbedingungen. Auch beim Archivieren von Image-Daten über die Importschnittstelle /WMD/FP_IMPORT wird dieses Profil entsprechend gesetzt.

XF_HTTP_NO_SNIFF

Wenn dieser Parameter auf X gesetzt ist, sendet der Webservice-Handler bei jeder Antwort die Anweisung an den Browser, immer den angegebenen Antworttyp zu verwenden. So wird verhindert, dass ein potenziell schadhaftes Skript ausgeführt wird. Dies könnte jedoch bei der Anzeige der Images über den Webservice-Handler und der Einstellung, das Image in einem iFrame anzuzeigen, zu Problemen führen.

Der Webservice-Handler sendet nun außerdem weitere sicherheitsrelevante Parameter an den Browser, um mögliche Angriffe von vornherein auszuschließen, sofern der Browser die Parameter entsprechend umsetzt. Zu nennen sind hierbei die "http-Response-Header Referrer-Policy" und die "Permissions-Policy".

Des Weiteren wird bei der Anlage von Zahlungsanforderungen über xSuite Web und SAP Fiori der bereits existierende Parameter XF_MAX_UPLOAD_SIZE berücksichtigt. Dieser Parameter legt die maximal zulässige Größe von Anhängen fest. Bei Zahlungsanforderungen bezieht sich die maximale Größe aus Sicherheitsgründen auf die Größensumme aller Anhänge.