Nous devons nous assurer que tous les cookies sur un site CF7 sont définis comme HttpOnly.Forcer les cookies HttpOnly avec JRun/ColdFusion
Nous utilisons jsessionid pour contrôler nos sessions, et JRun ne crée pas cela comme HttpOnly.
S'il est possible de modifier un cookie existant pour ajouter ce paramètre, nous devons le définir à HttpOnly dès le début.
Des suggestions?
Question connexe: Setting Secure flag for HTTPS cookies.
L'objectif est pour la première demande d'être sûr (et passer le balayage), donc si ce poste couvre que il va résoudre le problème.
-moi si je me trompe, mais il semble que vous avez besoin de rediriger vers HTTPS si une requête arrive sur HTTP. Ne pouvez-vous pas attraper ceci avec une règle de réécriture d'URL, avant que la demande soit envoyée à ColdFusion?
De: http://www.petefreitag.com/item/764.cfm
course des FC 8 ou inférieur et en utilisant Application.cfc
<cfcomponent>
<cfset this.sessionmanagement = true>
<cfset this.setclientcookies = false>
<cffunction name="onSessionStart">
<cfheader name="Set-Cookie" value="CFID=#session.CFID#;path=/;HTTPOnly">
<cfheader name="Set-Cookie" value="CFTOKEN=#session.CFTOKEN#;path=/;HTTPOnly">
</cffunction>
<cfcomponent>
Assurez-vous que vous avez setclientcookies = false spécifié.
Si l'aide Application.cfm
Si vous utilisez toujours un fichier Application.cfm, vous pouvez utiliser les éléments suivants:
<cfapplication setclientcookies="false" sessionmanagement="true" name="test">
<cfif NOT IsDefined("cookie.cfid") OR NOT IsDefined("cookie.cftoken")>
<cfheader name="Set-Cookie" value="CFID=#session.CFID#;path=/;HTTPOnly">
<cfheader name="Set-Cookie" value="CFTOKEN=#session.CFTOKEN#;path=/;HTTPOnly">
</cfif>
D'abord, un accueil chaleureux à tous les réfugiés PCI DSS! Appscan, Webinspect, Hailstorm et NTOSpider fugitifs sont également invités. Prenez place juste ici, j'ai un gâteau pour vous:
Bien qu'il soit trop tard pour Peter, il est en fait possible que JRun génère des cookies HTTPOnly (et sécurisés) dès le départ comme il le demandait. Recherchez le fichier jrun-web.xml. Il sera probablement dans un répertoire comme
C:\JRun4\servers\servername\cfusion-ear\cfusion-war\WEB-INF\.
Vous devez ajouter ce qui suit à la cookie-config section:
<cookie-config>
<cookie-path>/;HttpOnly</cookie-path>
</cookie-config>
Si votre site est HTTPS, vous devez également activer l'option cookie sécurisé. Mais attention, son serveur est large, pas spécifique à l'application. Donc, il ne peut pas convenir à votre environnement commun:
<cookie-config>
<cookie-secure>true</cookie-secure>
<cookie-path>/;HttpOnly</cookie-path>
</cookie-config>
Si vous n'êtes pas coincé dans MX7 ou CF8, il y a un cadre officiel pour this in CF9.01Dcoldfusion.sessioncookie.httponly
Je l'ai testé sur ce ColdFusion MX7 et fonctionne comme prévu. Dscged Appscan je l'ai fait.
Nous allons malheureusement via IIS 5, donc nous ne pouvons pas faire de réécriture d'URL sans plugins tiers coûteux et buggés. A moins qu'il y ait une réécriture qui peut être faite au niveau JRun? –
Je ne connais pas de réécriteurs d'url au niveau de JRun. Exécuter sur IIS 5 semble être une exigence étrange ... mais je peux certainement comprendre que parfois vous devez travailler avec ce que vous avez. Bonne chance! :) –