Во-первых, тепло приветствуем всех беженцев PCI DSS! Приглашаются также беглецы Appscan, Webinspect, Hailstorm и NTOSpider. Садись вот сюда, у меня для тебя торт:
Хотя для Питера уже слишком поздно, на самом деле возможно, чтобы JRun с самого начала генерировал HTTPOnly (и безопасные) файлы cookie, как он просил. Найдите файл jrun-web.xml
. Вероятно, он будет в каталоге вроде
C:\JRun4\servers\servername\cfusion-ear\cfusion-war\WEB-INF\
.
Вам необходимо добавить следующее в раздел cookie-config:
<cookie-config>
<cookie-path>/;HttpOnly</cookie-path>
</cookie-config>
Если ваш сайт использует протокол HTTPS, вам также следует включить опцию безопасных файлов cookie. Но будьте осторожны, это касается всего сервера, а не приложения. Поэтому он может не подходить для вашей общей среды:
<cookie-config>
<cookie-secure>true</cookie-secure>
<cookie-path>/;HttpOnly</cookie-path>
</cookie-config>
Если вы не застряли в MX7 или CF8, существует официальная настройка для это в CF9.01 Dcoldfusion.sessioncookie.httponly
Я тестировал это на ColdFusion MX7, и он работает, как ожидалось. Я увернулся от Appscan.
person
Amit Naidu
schedule
03.08.2011