Coldfusion 10跨域HTTPS会话问题
只是想知道是否有人在CF10中遇到了这样的问题:在HTTPS下的同一个应用程序的子域之间,会话被丢弃,即使JSESSIONID在这些链接中被显式地传递,在CF10之前,这些链接已经为我们工作了5年以上。据我所读到,在解决CF10中的会话固定安全性问题方面似乎有了很大的变化,这就解释了为什么会话会在HTTPS之间跳转,但这并不能解释我的问题。我理解在CF 9.02中引入的会话固定化更改,并且CF肯定会对我们通过URL传递的JSESSIONID产生影响,但是这种行为已经被删除了,而会话却在下降。
本质上,我们已经安装了CF10,打开了J2EE会话管理,默认的HTTPOnly设置为true。这是一个具有相同应用程序名称的单个CF应用程序,setClientCookies为false,应用程序中的域结构如下所示:
https://book.domain.com
https://profile.domain.com
https://approve.domain.com当跨域(在此之前已经工作了多年)时,会话会下降,CF会发出一组新的会话标识符。
即使按照以下方式在onSessionStart()中设置cookie也没有任何效果:
<cfcookie name="jsessionid" value="#session.sessionid#" domain=".domain.com" secure="true">有没有人见过这种迁移到CF10的行为?
干杯菲尔
回答 1
Stack Overflow用户
发布于 2014-04-08 00:58:47
因此,在讨论了许多设置和想法之后,我现在可以在我最初的问题中提到的HTTPS和使用安全(基于浏览器的)cookie的子域上进行会话,从而满足PCI法规要求。所有通过URL传递的JSESSIONID都从系统中删除,并为构造函数和onSessionStart()添加到onSessionStart中的下列行。注意下面设置为false的setDomainCookies和setClientCookies以及特定于域的sessioncookie设置,并在onSessionStart encoding中注意设置没有过期,以确保它只持续浏览器的持续时间,以及新的CF10 encodeValue属性,以防止cookie值出现奇怪的编码问题:
<cfcomponent hint="Application" output="false">
<cfscript>
// Application Settings
this.name = "myApplication";
this.applicationTimeout = createTimeSpan(0,2,0,0);
this.clientManagement = false;
this.loginStorage = "session";
this.sessionManagement = true;
this.sessionTimeout = createTimeSpan(0,1,0,0);
this.setClientCookies = false;
this.setDomainCookies = false;
// Domain specific settings for session persistence over subdomains
this.sessioncookie.domain = '.domain.com';
this.sessioncookie.httponly = true;
</cfscript>
<cffunction name="onSessionStart" returnType="void" output="false">
<cfcookie name="jsessionid" value="#session.sessionid#" secure="true" domain=".domain.com" encodeValue="false">
</cffunction>
</cfcomponent>https://stackoverflow.com/questions/22825159
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号