2

CFMX 8 エンタープライズ

セキュリティ要件により、永続的な Cookie を使用できないことが規定されているため、メモリ変数の [J2EE セッション変数を使用する] 設定をオンにしました。

この設定をオンにすると、「JSESSIONID」セッション Cookie のみを作成して使用するように CF に指示することを理解しました。

ただし、私のサーバーは、有効期限が 30 年後の古いスタイルの「CFID」および「CFTOKEN」Cookie をまだ作成および使用しているようです。

明らかに、Application.cfc で CFCOOKIE を使用して CFID と CFTOKEN を操作して有効期限を削除するという古いトリックを実行できますが、これはすべてのアプリケーションに追加する必要があるものです。

ColdFusion サービスの再起動と同じくらい簡単ですか? バグ?それとも設定を誤解しているだけですか?

4

1 に答える 1

3

オンライン KB データベースから:

ColdFusion MX (CFMX) では、従来の ColdFusion セッション管理に加えて、J2EE サーブレット セッション管理が導入されています。J2EE セッション管理により、1 つのアプリケーション内で ColdFusion ページと JSP ページまたはサーブレットの間でセッション情報を共有できます。J2EE セッション管理では、ColdFusion は新しい変数 JSESSIONID を使用して、CFID/CFTOKEN の代わりにユーザーのブラウザー セッションを追跡します。ただし、ColdFusion MX は引き続き CFID 値と CFTOKEN 値を作成しますが、これらの値はブラウザ セッションを一意に識別するために使用されなくなりました。J2EE セッション管理はアプリケーション名を必要としないため、SESSION.SESSIONID 値が JSESSIONID になります。JSESSIONID は常にセッションごとの値として書き込まれるため、ブラウザーを閉じると破棄され、新しいブラウザー セッションごとに新しい ID が作成されます。

そのため、CFID と CFTOKEN が生成されますが、無視されます。

于 2008-11-06T15:00:11.857 に答える