Sichere Cookies setzen, wenn HTTPS (für gemischte HTTPS/HTTP-Site) mit JRun/ColdFusion

Wir haben eine Site auf CF7 ausgeführt, die sowohl eingeloggt als auch abgemeldet hat, und verwendet jsessionid für Sitzungen.Sichere Cookies setzen, wenn HTTPS (für gemischte HTTPS/HTTP-Site) mit JRun/ColdFusion

Beim Wechsel zu HTTPS (für die sicheren Bereiche) müssen wir eine neue sichere Sitzung starten, indem wir das Flag "Sicher" auf dem jsessionid-Cookie setzen.

Während JRun eine Option zum Festlegen von 'Sicher' hat, scheint es ein Alles-oder-Nichts-Geschäft zu sein.

Gibt es eine Möglichkeit, Secure immer im HTTPS-Modus zu verwenden?

Verwandte Frage: Setting HttpOnly flag for all cookies.

Quelle

2009-06-26 Peter Boughton

Diese Erklärung scheint ziemlich gründlich zu sein. Aus irgendeinem Grund ist es nicht trivial.

12robots.com Making the JSESSIONID Session Token Cookie SECURE and HTTPOnly and settings its PATH

Quelle

2009-06-26 12:04:35 Tomalak

Oh, ich sehe dich nur schon diese Empfehlung hatte, nur in einer anderen Frage. :) Ich glaube nicht, dass es einen reibungslosen Weg gibt zu tun, was du willst. IMHO sollte dies vom Server transparent gehandhabt werden. – Tomalak

Heh ja, ich habe die Fragen aufgeteilt, da es sich um unterschiedliche Probleme handelt, aber ich hatte vor, sie explizit miteinander zu verknüpfen, werde das jetzt tun. Und ich stimme definitiv zu, dass dies vom Server erledigt werden sollte - es könnte sich lohnen zu überprüfen, ob Tomcat oder Resin eine bessere Kontrolle darüber bietet. –

Sichere Cookies setzen, wenn HTTPS (für gemischte HTTPS/HTTP-Site) mit JRun/ColdFusion

Antwort

Verwandte Themen