Impossible de désactiver les cookies de suivi persistants dans CFMX 8

Question

CFMX 8 Enterprise

Je me suis tourné sur le paramètre « Utiliser les variables de session J2EE » sous Variables de mémoire parce que les exigences de sécurité indiquent que les cookies persistants ne peuvent pas être utilisés.

Je compris que tourner ce paramètre racontera CF pour créer et utiliser uniquement un cookie de session « JSESSIONID ».

Cependant, mon serveur semble encore créer et d'utiliser l'ancien style « CFID » et les cookies « CFTOKEN » avec des dates d'expiration dans trente ans.

Maintenant, évidemment, je peux faire l'ancienne astuce de manipuler CFID et CFTOKEN avec CFCOOKIE dans mon Application.cfc pour supprimer la date d'expiration, mais c'est quelque chose que je devrais ajouter à toutes mes applications.

Est-ce aussi simple que le redémarrage du service ColdFusion? Un bug? Ou suis-je juste mal compris le réglage?

Answer 1

De la base de données en ligne KB:

ColdFusion MX (CFMX) présente une gestion de la session de servlet J2EE en plus de la gestion de session ColdFusion traditionnelle. La gestion de session J2EE permet le partage d'informations de session entre des pages ColdFusion et des pages JSP ou des servlets au sein d'une même application. Avec la gestion de session J2EE, ColdFusion utilise une nouvelle variable, JSESSIONID, pour suivre la session du navigateur d'un utilisateur au lieu de CFID/CFTOKEN. Toutefois, ColdFusion MX crée toujours les valeurs CFID et CFTOKEN, mais ces valeurs ne sont plus utilisées pour identifier de manière unique les sessions du navigateur. La gestion de session J2EE ne nécessite pas de nom d'application, donc la valeur SESSION.SESSIONID devient JSESSIONID. Étant donné que l'IDSESSION est toujours écrit en tant que valeur par session, il est détruit lorsque le navigateur est fermé et qu'un nouveau est créé à chaque nouvelle session du navigateur.

Ainsi, CFID et CFTOKEN sont générés, mais ignorés.