如何使用 HTTPOnly/ Secure 属性保护 ColdFusion cookie?
How to secure ColdFusion cookies with HTTPOnly/ Secure attribute?
我正在努力帮助一家公司的 ColdFusion 网站出现问题。该问题是由于“具有 HTTPOnly/Secure Flag 属性的不安全 cookie”导致的 PCI 扫描失败。
之前我通过编辑 web.xml 文件修复了其他 3 个 cookie 的错误:JSESSIONID、CFID、CFTOKEN;然而,这次的问题显然是在 Application.cfm.
中创建的会话 cookie
具体来说:
<cfapplication name="testname" sessionmanagement="Yes"
loginStorage="session" CLIENTMANAGEMENT="YES"
SESSIONTIMEOUT=#CreateTimeSpan(0,0,30,0)#>
到目前为止,我已经尝试按照 Adobe (https://helpx.adobe.com/coldfusion/cfml-reference/coldfusion-tags/tags-a-b/cfapplication.html) 的 CFApplication.html 来解决这个问题,但没有成功。感谢您在解决此问题时提供任何帮助或指导。提前致谢!
您有权访问这些站点的 ColdFusion 管理员吗?在 Server Settings-->Memory Variable 部分是会话 cookie 的通用设置:HTTPOnly 和 Secure Only。确保这些已打开。
此外,网站是否使用了 CFCOOKIE 标签。确保这些标签将 'secure' 和 'httponly' 属性设置为 TRUE。
最后,网站是否在任何 CFPARAM tags/calls 中声明了 COOKIE 范围的变量?如果是这样,那些将设置 cookie 并且不 安全并且我没有找到使它们如此的设置。
我正在努力帮助一家公司的 ColdFusion 网站出现问题。该问题是由于“具有 HTTPOnly/Secure Flag 属性的不安全 cookie”导致的 PCI 扫描失败。
之前我通过编辑 web.xml 文件修复了其他 3 个 cookie 的错误:JSESSIONID、CFID、CFTOKEN;然而,这次的问题显然是在 Application.cfm.
中创建的会话 cookie具体来说:
<cfapplication name="testname" sessionmanagement="Yes"
loginStorage="session" CLIENTMANAGEMENT="YES"
SESSIONTIMEOUT=#CreateTimeSpan(0,0,30,0)#>
到目前为止,我已经尝试按照 Adobe (https://helpx.adobe.com/coldfusion/cfml-reference/coldfusion-tags/tags-a-b/cfapplication.html) 的 CFApplication.html 来解决这个问题,但没有成功。感谢您在解决此问题时提供任何帮助或指导。提前致谢!
您有权访问这些站点的 ColdFusion 管理员吗?在 Server Settings-->Memory Variable 部分是会话 cookie 的通用设置:HTTPOnly 和 Secure Only。确保这些已打开。
此外,网站是否使用了 CFCOOKIE 标签。确保这些标签将 'secure' 和 'httponly' 属性设置为 TRUE。
最后,网站是否在任何 CFPARAM tags/calls 中声明了 COOKIE 范围的变量?如果是这样,那些将设置 cookie 并且不 安全并且我没有找到使它们如此的设置。