CF7サイトのすべてのCookieがHttpOnlyとして設定されていることを確認する必要があります。
セッションを制御するためにjsessionidを使用していますが、JRunはこれをHttpOnlyとして作成しません。
既存のCookieを変更してこの設定を追加することは可能ですが、最初からHttpOnlyに設定する必要があります。
助言がありますか?
関連する質問:HTTPSCookieのセキュアフラグを設定します。
質問する
4149 次
3 に答える
3
まず、すべてのPCIDSS難民を温かく歓迎します。Appscan、Webinspect、Hailstorm、NTOSpiderの逃亡者も招待されています。ここに座ってください、私はあなたのためにケーキを持っています:
Peterには遅すぎますが、実際には、JRunに最初からHTTPOnly(およびセキュア)Cookieを生成させることは可能です。ファイルを探しjrun-web.xmlます。おそらく次のようなディレクトリにあります
C:\JRun4\servers\servername\cfusion-ear\cfusion-war\WEB-INF\。
cookie-configセクションに以下を追加する必要があります。
<cookie-config>
<cookie-path>/;HttpOnly</cookie-path>
</cookie-config>
サイトがHTTPSの場合は、セキュアCookieオプションも有効にする必要があります。ただし、アプリケーション固有ではなく、サーバー全体に注意してください。したがって、共有環境には適さない場合があります。
<cookie-config>
<cookie-secure>true</cookie-secure>
<cookie-path>/;HttpOnly</cookie-path>
</cookie-config>
MX7またはCF8にとらわれていない場合は、CF9.01に公式設定があります。 Dcoldfusion.sessioncookie.httponly
これをColdFusionMX7でテストしましたが、期待どおりに機能します。Appscanをかわしました。
于 2011-08-03T06:15:26.757 に答える
3
から: http://www.petefreitag.com/item/764.cfm
CF 8 以下を実行し、Application.cfc を使用する
<cfcomponent>
<cfset this.sessionmanagement = true>
<cfset this.setclientcookies = false>
<cffunction name="onSessionStart">
<cfheader name="Set-Cookie" value="CFID=#session.CFID#;path=/;HTTPOnly">
<cfheader name="Set-Cookie" value="CFTOKEN=#session.CFTOKEN#;path=/;HTTPOnly">
</cffunction>
<cfcomponent>
setclientcookies = false が指定されていることを確認してください。
Application.cfm を使用する場合
Application.cfm ファイルをまだ使用している場合は、次を使用できます。
<cfapplication setclientcookies="false" sessionmanagement="true" name="test">
<cfif NOT IsDefined("cookie.cfid") OR NOT IsDefined("cookie.cftoken")>
<cfheader name="Set-Cookie" value="CFID=#session.CFID#;path=/;HTTPOnly">
<cfheader name="Set-Cookie" value="CFTOKEN=#session.CFTOKEN#;path=/;HTTPOnly">
</cfif>
于 2011-03-08T15:53:58.200 に答える
0
目標は、最初のリクエストが安全であること (そしてスキャンに合格すること) であるため、この投稿でそれがカバーされていれば、問題は解決します。
間違っている場合は訂正してください。ただし、リクエストが HTTP 経由で着信した場合、HTTPS にリダイレクトする必要があるようです。リクエストが ColdFusion に送信される前に、URL 書き換えルールでこれをキャッチできませんか?
于 2009-06-29T16:51:32.023 に答える