【发布时间】:2021-11-17 05:07:10
【问题描述】:
我正在尝试帮助一家在 ColdFusion 网站上遇到问题的公司。问题是由于“具有 HTTPOnly/安全标志属性的不安全 cookie”导致 PCI 扫描失败。
之前我通过编辑 web.xml 文件为其他 3 个 cookie 修复了此错误:JSESSIONID、CFID、CFTOKEN;但是,这一次的问题显然是在 Application.cfm 中创建的会话 cookie。
具体来说:
<cfapplication name="testname" sessionmanagement="Yes"
loginStorage="session" CLIENTMANAGEMENT="YES"
SESSIONTIMEOUT=#CreateTimeSpan(0,0,30,0)#>
到目前为止,我已尝试按照 Adobe (https://helpx.adobe.com/coldfusion/cfml-reference/coldfusion-tags/tags-a-b/cfapplication.html) 的 CFApplication.html 来解决此问题,但没有任何运气。在解决此问题时,我们感谢您提供任何帮助或指导。提前谢谢!
【问题讨论】:
-
通常不需要编辑 web.xml 文件。您可以使用 setClientCookies 变量在 application.cfm/cfc 中设置 cookie 处理,或使用应用程序逻辑中的 cfcookie 标记(重新)设置 cookie。
-
是的,但是这个客户有多个站点,所有站点都使用 Coldfusion 托管,所有站点都带有不安全的 cookie,这是我发现一次性修复它们的最快途径。调查一下,Tomcat 和 CF11 的这些 cookie 似乎存在问题。这是我用于该修复的来源:community.adobe.com/t5/coldfusion-discussions/…
-
您能显示设置该会话 cookie 的代码吗?到目前为止,您使用 cfapplication 标签提供的内容是设置您已经修复的 3 个 cookie。
-
是的,我尝试编辑原帖;但是,它不会让我。当前代码是 '''
''' 这就是全部存在于当前 applications.cfm 文件中。 -
在您进行这些更改后他们是否重新扫描?如果您已经使用浏览器开发工具验证了这些设置确实在 cookie 上启用,那么这是没有意义的。
标签: cookies coldfusion session-cookies coldfusion-11