"Cookies" sind ein HTTP-Mechanismus, der einem HTTP-Server ermöglicht, begrenzte Datenmengen bei einem HTTP-Client abzulegen und sich diese bei Requests auf Grund bestimmter Kriterien zurücksenden zu lassen.

Man unterscheidet persitente Cookies, die i.d.R. auf der Festplatte des Client-Rechners bis zu einem Verfallsdatum gespeichert werden, und Session-Cookies, die nicht im Filesystem gespeichert werden, sondern nur im Speicher des Clients (z.B. Web-Browser) gehalten werden, bis dieser beendet wird.

Session-Cookies sind damit völlig unkritisch bzgl. Sicherheit und werden beim Schließen des Browserfensters sofort wieder gelöscht. Einige Browser unterscheiden diese beiden Cookie-Typen inzwischen und melden auf Wunsch nur den Empfang von persistenten Cookies, der vom Benutzer bestätigt werden muß.

In der nächsten Version des SAP Web Application Servers werden auch vollständig „Cookie-lose" Applikationen unterstützt werden.