問題タブ [cookie-httponly]

Coldfusion 9 で Cookie CFIDE と CFTOKEN を HTTPOnly に設定しようとしています...

これが私が試したことです（エラーはありませんでしたが、機能しませんでした）：

私も試しました（うまくいきません...そしてエラーはありません）：

そしてこれ（これはCF10でのみ機能すると思います）：

次に、これ（エラーは発生しませんでしたが、機能しませんでした）：

これらを実行すると、Chrome で空のキャッシュのハード リロードが実行されます。ページがリロードされると、Resources Cookies HTTPOnly 列にチェック ボックスが表示されるはずです。

私はおそらく疲れ果てており、上記の正しいコンボを打った可能性があり、飛び回りすぎて失敗したと偽陽性になりました. キャッシュされたものが時々私を最大限に活用します。

機能する CFML コンテナ スタイルを持っていますが、Application.cfc はすべてスクリプト スタイルであり、それを維持したいと考えています...Coldfusion 9 でこのスクリプト スタイルを実行するにはどうすればよいですか?

ありがとうございます！

私の修正のための更新：

以下の getPageContex() を使用しましたが、そのままでは動作しませんでした。また、onSessionStart() イベント ハンドラーが変更され、Application.cfc ファイルでも新しくなった CreateUUID() を使用して session.CFID と session.CFTOKEN を作成するようになりました。後世のために、コードのブロックがどのように見えるかをここに示します。

別の注意:何らかの理由で、セッションがクリアされ、onsessionstart() ハンドラーが要求された場合、上記のこの Cookie の設定は失敗します。リロードの問題を考慮して、何らかの種類の try catch ブロックまたは例外処理を追加する必要があります。最善の方法は、Coldfusion 10 (またはまもなくリリースされる CF 11) のパッチを適用したリリースにアップグレードすることです。

Java 6 Update 71 で httpOnly 属性にいくつかの変更があることがわかりました。これにより、私の JSessionIDSSO Cookie の属性 httpOnly が true になっています。

確認するだけでいいのですが、同じ問題に直面した人はいますか?

JSessionIDSSO を読み取ることができないため、JSessionIDSSO を使用する JNLP アプリケーションが壊れています。JSessionIDSSO の httpOnly 属性を false にして、動作させます。

誰でもこの動作の解決策を提案できますか?

ありがとう

すべての ASP Cookie を安全であると宣言する必要がありhttponlyます。コードはクラシック ASP であり、IIS ver is 6.0.

Cookie は次のように定義されています。

アプリケーションによって作成された Cookie のプロパティを変更する方法はありますか?

私のアプリケーションは websphere 6.1 を使用しています。

また、Cookie を保護するための構成は行われていません。

しかし、mozilla firefox addon : firbug を使用してアプリケーションの Cookie をテストすると、安全な Cookie と安全でない Cookie がいくつかあることがわかります。

だから私は、クッキーが安全であるべきかどうかを決定するパラメータを知りたい.

セキュリティ上の制約により、コード/Cookie 情報を共有できなくて申し訳ありません。

I'm trying to logout the user by removing a cookie and redirect him to the home page.

Is it possible to do it without adding lua-nginx-module?

MVC 4 (.net) プロジェクトを通じていくつかの Rest サービスを公開しています。これらは、adfs 認証サーバーの背後にデプロイされます。同じ ADFS の背後にある他のアプリケーションは、ajax 呼び出しを介して私のサービスを呼び出しています。

問題は、呼び出しが adfs で停止していることです。ユーザーがアプリケーションにログインしたときに認証されたとしても、認証 Cookie はアプリ ドメインの下にあり、明らかにサービス サーバー ドメインにはありません。

Cookie は httpOnly でロックされているため、サービス サーバー用に複製することはできません (当然のことです)。クッキーを「盗む」方法、または別の回避策はありますか?

私のアプリの Cookie は保護されておらず、http のみではありませんが、CakePHP Book 2.0 - Session Configurationの例とまったく同じように構成されています。

私は SSL を使用しているため、これは自動的に行われるはずですが、手動で設定しても発生しません。上記のコードを参照してください。クッキーのタイムアウトはうまく機能します。

何か案は？どうもありがとうございました！

私は試した

context.xml にありますが、jboss4.0 では認識されません

そして私はJavaプログラムで試しました

2番目のリクエストでは、セッションのセッション検証オブジェクトを取得できないため、セッションの期限切れページが表示されます

そして私はフィルターで試しました

上記のフィルターを使用する場合、 response.containsHeader("SET-COOKIE") または response.containsHeader("Set-Cookie") は常に false を返します

安全でhttponlyとしてjboss 4.0 Jsessionidフラグを設定するための解決策を教えてください

私はサーバーを管理しており、Cookie に HttpOnly を設定することを検討しています。

サーバー側とクライアント側の両方で相互作用する Cookie はありませんが、すべての Cookie に対してこのオプションを有効にすると、クライアント側で生成された Cookie が後続のページ読み込みでアクセスされなくなりますか?

明確にするために、これはサーバーオプションとして設定されます。私は Apache を使用しているので、これは次のようになります Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure 。

さらに、質問はデータ保存に Cookie を使用することに基づいています。LocalStorageクライアント側で純粋に使用されるデータを保存するための優れた方法であっても、質問の文脈の外にあります。