D'abord, un accueil chaleureux à tous les réfugiés PCI DSS! Appscan, Webinspect, Hailstorm et NTOSpider fugitifs sont également invités. Prenez place juste ici, j'ai un gâteau pour vous:
Bien qu'il soit trop tard pour Peter, il est en fait possible que JRun génère des cookies HTTPOnly (et sécurisés) dès le départ comme il le demandait. Recherchez le fichier jrun-web.xml
. Il sera probablement dans un répertoire comme
C:\JRun4\servers\servername\cfusion-ear\cfusion-war\WEB-INF\
.
Vous devez ajouter ce qui suit à la cookie-config section:
<cookie-config>
<cookie-path>/;HttpOnly</cookie-path>
</cookie-config>
Si votre site est HTTPS, vous devez également activer l'option cookie sécurisé. Mais attention, son serveur est large, pas spécifique à l'application. Donc, il ne peut pas convenir à votre environnement commun:
<cookie-config>
<cookie-secure>true</cookie-secure>
<cookie-path>/;HttpOnly</cookie-path>
</cookie-config>
Si vous n'êtes pas coincé dans MX7 ou CF8, il y a un cadre officiel pour this in CF9.01Dcoldfusion.sessioncookie.httponly
Je l'ai testé sur ce ColdFusion MX7 et fonctionne comme prévu. Dscged Appscan je l'ai fait.
Nous allons malheureusement via IIS 5, donc nous ne pouvons pas faire de réécriture d'URL sans plugins tiers coûteux et buggés. A moins qu'il y ait une réécriture qui peut être faite au niveau JRun? –
Je ne connais pas de réécriteurs d'url au niveau de JRun. Exécuter sur IIS 5 semble être une exigence étrange ... mais je peux certainement comprendre que parfois vous devez travailler avec ce que vous avez. Bonne chance! :) –