Thứ nhất, chào đón nồng nhiệt cho tất cả những người tị nạn PCI DSS! Appscan, Webinspect, Hailstorm và NTSpider fugitives cũng được mời. Ngồi ngay phía trên đây, tôi có bánh cho bạn:
Trong khi quá muộn cho Peter, trên thực tế, JRun có thể tạo ra các cookie HTTPOnly (và an toàn) ngay từ đầu khi anh ta hỏi. Tìm tập tin jrun-web.xml
. Nó có thể nằm trong một thư mục như
C:\JRun4\servers\servername\cfusion-ear\cfusion-war\WEB-INF\
.
Bạn phải thêm dòng sau vào các cookie-config section:
<cookie-config>
<cookie-path>/;HttpOnly</cookie-path>
</cookie-config>
Nếu trang web của bạn là HTTPS, bạn cũng nên kích hoạt tùy chọn cookie sẽ an toàn. Nhưng hãy cẩn thận, máy chủ của nó rộng, không ứng dụng cụ thể. Vì vậy, nó có thể không phù hợp với môi trường chia sẻ của bạn:
<cookie-config>
<cookie-secure>true</cookie-secure>
<cookie-path>/;HttpOnly</cookie-path>
</cookie-config>
Nếu bạn không bị mắc kẹt trong MX7 hoặc CF8, có một thiết lập chính thức cho this in CF9.01Dcoldfusion.sessioncookie.httponly
Tôi đã thử nghiệm này trên ColdFusion MX7 và nó hoạt động như mong đợi. Dodged Appscan tôi đã làm.
Nguồn
2011-08-03 06:15:26
Rất tiếc, chúng tôi không thực hiện được thông qua IIS 5, do đó, không thể viết lại URL mà không tốn kém, lỗi, các plugin của bên thứ ba. Trừ khi có một số viết lại có thể được thực hiện ở cấp JRun? –
Tôi không biết bất kỳ nhà soạn nhạc url cấp JRun nào. Chạy trên IIS 5 có vẻ như một yêu cầu kỳ lạ ... nhưng tôi chắc chắn có thể hiểu rằng đôi khi bạn phải làm việc với những gì bạn đã có. Chúc may mắn! :) –