Принудительное использование HttpOnly файлов cookie с помощью JRun/ColdFusion

Question

Принудительное использование HttpOnly файлов cookie с помощью JRun/ColdFusion

Мы должны убедиться, что все файлы cookie на сайте CF7 установлены как HttpOnly.

Мы используем jsessionid для управления нашими сессиями, и JRun не создает это как HttpOnly.

Хотя существует возможность изменить существующий файл cookie, добавив этот параметр, нам нужно с самого начала установить для него значение HttpOnly.

Какие-либо предложения?

Смежный вопрос: Установка безопасного флага для файлов cookie HTTPS.

6

cookies coldfusion jsessionid httponly jrun

Источник

user9360 26 июн '09 в 10:41

3 ответа

Другие вопросы по тегам cookies coldfusion jsessionid httponly jrun

user650083 08 мар '11 в 15:53 2011-03-08 15:53 · Answer 1 · 2011-03-08 15:53

От: http://www.petefreitag.com/item/764.cfm

Запуск CF 8 или ниже и использование Application.cfc

<cfcomponent>
  <cfset this.sessionmanagement = true>
  <cfset this.setclientcookies = false>
  <cffunction name="onSessionStart">
      <cfheader name="Set-Cookie" value="CFID=#session.CFID#;path=/;HTTPOnly">
      <cfheader name="Set-Cookie" value="CFTOKEN=#session.CFTOKEN#;path=/;HTTPOnly">
  </cffunction>
<cfcomponent>

Убедитесь, что вы указали setclientcookies = false.

При использовании Application.cfm

Если вы все еще используете файл Application.cfm, вы можете использовать следующее:

<cfapplication setclientcookies="false" sessionmanagement="true" name="test">
<cfif NOT IsDefined("cookie.cfid") OR NOT IsDefined("cookie.cftoken")>
   <cfheader name="Set-Cookie" value="CFID=#session.CFID#;path=/;HTTPOnly">
   <cfheader name="Set-Cookie" value="CFTOKEN=#session.CFTOKEN#;path=/;HTTPOnly">
</cfif>

user209129 03 авг '11 в 06:15 2011-08-03 06:15 · Answer 2 · 2011-08-03 06:15

Во-первых, теплый прием всем беженцам PCI DSS! Беглецы из Appscan, Webinspect, Hailstorm и NTOSpider также приглашаются. Садитесь прямо здесь, у меня есть торт для вас:

Хотя для Питера слишком поздно, на самом деле возможно, чтобы JRun с самого начала генерировал HTTPOnly (и безопасные) куки-файлы, как он и просил. Ищите jrun-web.xml файл. Это, вероятно, будет в каталоге, как

C:\JRun4\servers\servername\cfusion-ear\cfusion-war\WEB-INF\,

Вы должны добавить следующее в раздел cookie-config:

<cookie-config>
    <cookie-path>/;HttpOnly</cookie-path>
</cookie-config>

Если ваш сайт HTTPS, вы также должны включить опцию безопасного cookie. Но будьте осторожны, его сервер широкий, а не конкретное приложение. Так что это может не подойти для вашей общей среды:

<cookie-config>
    <cookie-secure>true</cookie-secure>
    <cookie-path>/;HttpOnly</cookie-path>
</cookie-config>

Если вы не застряли в MX7 или CF8, для CF9.01 существует официальная настройка для этого.Dcoldfusion.sessioncookie.httponly

Я проверил это на ColdFusion MX7, и он работает, как ожидалось. Dodged Appscan я сделал.

user751 29 июн '09 в 16:51 2009-06-29 16:51 · Answer 3 · 2009-06-29 16:51

Цель состоит в том, чтобы первый запрос был защищен (и прошел сканирование), поэтому, если этот пост охватывает это, то это решит проблему.

Поправьте меня, если я не прав, но похоже, что вам нужно перенаправить на HTTPS, если запрос приходит через HTTP. Разве вы не можете поймать это с помощью правила перезаписи URL, прежде чем запрос будет отправлен в ColdFusion вообще?