Zuerst ein herzliches Willkommen an alle Flüchtlinge PCI DSS! Appscan, Webinspect, Hailstorm und NTOSpider Flüchtige sind ebenfalls eingeladen. Nehmen Sie Platz direkt hier, ich habe Kuchen für Sie:
Während zu spät für Peter ist es in der Tat möglich, dass JRun HTTPOnly (und sichere) Cookies von Anfang an generieren, als er fragte. Suchen Sie nach der Datei jrun-web.xml
. Es wird wahrscheinlich in einem Verzeichnis wie
C:\JRun4\servers\servername\cfusion-ear\cfusion-war\WEB-INF\
sein.
Sie haben folgendes zum cookie-config section hinzuzufügen:
<cookie-config>
<cookie-path>/;HttpOnly</cookie-path>
</cookie-config>
Wenn Ihre Website HTTPS ist, sollten Sie auch die sichere Cookie-Option aktivieren. Aber seien Sie vorsichtig, sein Server weit, nicht anwendungsspezifisch. So kann es für Ihre gemeinsame Umgebung nicht geeignet:
<cookie-config>
<cookie-secure>true</cookie-secure>
<cookie-path>/;HttpOnly</cookie-path>
</cookie-config>
Wenn Sie nicht in MX7 oder CF8 stecken geblieben sind, gibt es eine offizielle Einstellung für this in CF9.01Dcoldfusion.sessioncookie.httponly
ich getestet habe dies auf Coldfusion MX7 und funktioniert wie erwartet. Ausweichen Appscan ich tat.
Wir gehen leider über IIS 5, so kann URL-Umschreibung ohne teure, fehlerhafte, Drittanbieter-Plugins nicht tun. Es sei denn, es gibt einige Umschreibungen, die auf der JRun-Ebene durchgeführt werden können. –
Mir sind keine JRun-Level-URL-Rewriter bekannt. Das Ausführen auf IIS 5 scheint eine seltsame Anforderung zu sein ... aber ich kann sicher verstehen, dass Sie manchmal mit dem arbeiten müssen, was Sie haben. Viel Glück! :) –