Debemos asegurarnos de que todas las cookies en un sitio CF7 se configuren como HttpOnly.Forzar cookies HttpOnly con JRun/ColdFusion
Estamos usando jsessionid para controlar nuestras sesiones, y JRun no crea esto como HttpOnly.
Si bien es posible modificar una cookie existente para agregar esta configuración, debemos configurarla en HttpOnly desde el principio.
¿Alguna sugerencia?
pregunta relacionada: Setting Secure flag for HTTPS cookies.
El objetivo es que la primera solicitud sea segura (y pasar la exploración), por lo que si este post cubre, que luego se va a resolver el problema.
Corrígeme si me equivoco, pero suena como que necesita para redirigir a HTTPS si llega una petición a través de HTTP. ¿No puedes ver esto con una regla de reescritura de URL antes de enviar la solicitud a ColdFusion?
Desde: http://www.petefreitag.com/item/764.cfm
Correr CF 8 o inferior y utilizando Application.cfc
<cfcomponent>
<cfset this.sessionmanagement = true>
<cfset this.setclientcookies = false>
<cffunction name="onSessionStart">
<cfheader name="Set-Cookie" value="CFID=#session.CFID#;path=/;HTTPOnly">
<cfheader name="Set-Cookie" value="CFTOKEN=#session.CFTOKEN#;path=/;HTTPOnly">
</cffunction>
<cfcomponent>
Asegúrate de que tienes setclientcookies = false especificado.
Si Utilizando Application.cfm
Si usted todavía está utilizando un archivo de Application.cfm, puede utilizar el siguiente:
<cfapplication setclientcookies="false" sessionmanagement="true" name="test">
<cfif NOT IsDefined("cookie.cfid") OR NOT IsDefined("cookie.cftoken")>
<cfheader name="Set-Cookie" value="CFID=#session.CFID#;path=/;HTTPOnly">
<cfheader name="Set-Cookie" value="CFTOKEN=#session.CFTOKEN#;path=/;HTTPOnly">
</cfif>
En primer lugar, una cálida bienvenida a todos los refugiados PCI DSS! Appscan, Webinspect, Hailstorm y NTOSpider fugitives también están invitados. Siéntese aquí, tengo torta para usted:
Si bien es demasiado tarde para Peter, de hecho es posible hacer que JRun genere cookies HTTPOnly (y seguras) desde el principio como lo pidió. Busque el archivo jrun-web.xml. Probablemente estará en un directorio como
C:\JRun4\servers\servername\cfusion-ear\cfusion-war\WEB-INF\.
hay que añadir lo siguiente a la cookie-config section:
<cookie-config>
<cookie-path>/;HttpOnly</cookie-path>
</cookie-config>
Si su sitio es HTTPS, también debe habilitar la opción de cookies seguro. Pero tenga cuidado, su servidor es amplio, no específico de la aplicación. Por lo que puede no ser adecuado para su entorno compartido:
<cookie-config>
<cookie-secure>true</cookie-secure>
<cookie-path>/;HttpOnly</cookie-path>
</cookie-config>
Si no está atascado en MX7 o CF8, hay un ajuste oficial this in CF9.01Dcoldfusion.sessioncookie.httponly
He probado esto en ColdFusion MX7 y funciona como se esperaba Dodged Appscan lo hice.
Desafortunadamente vamos a través de IIS 5, por lo que no podemos hacer la reescritura de URL sin costosos complementos de terceros. ¿A menos que haya alguna reescritura que pueda hacerse en el nivel JRun? –
No conozco ningún editor de URL de nivel JRun. Correr en IIS 5 parece un requisito extraño ... pero ciertamente puedo entender que a veces tienes que trabajar con lo que tienes. ¡Buena suerte! :) –