我正试图帮助一家公司谁是遇到一个问题与他们的ColdFusion网站。问题是由于带有HTTPOnly/Secure Flag属性的"不安全cookie"导致的PCI扫描失败。
以前我通过编辑web.xml文件修复了其他3个cookie的此错误:JSESSIONID, cfd, CFTOKEN;然而,这次的问题显然是在Application.cfm内部创建的会话cookie。
具体来说:
<cfapplication name="testname" sessionmanagement="Yes"
loginStorage="session" CLIENTMANAGEMENT="YES"
SESSIONTIMEOUT=#CreateTimeSpan(0,0,30,0)#>
到目前为止,我已经尝试遵循CFApplication.html从Adobe (https://helpx.adobe.com/coldfusion/cfml-reference/coldfusion-tags/tags-a-b/cfapplication.html)来解决这个问题,但没有任何运气。任何帮助或指导,在解决这个问题表示赞赏。提前感谢!
您有权访问这些站点的ColdFusion管理员吗?在服务器设置—内存变量部分是会话cookie的通用设置:HTTPOnly和Secure Only。确保这些都是打开的
此外,网站是否使用CFCOOKIE标签。确保这些标签将'secure'和'httponly'属性设置为TRUE。
最后,网站声明COOKIE作用域的变量在任何CFPARAM标签/调用?如果是这样,这些将设置cookie,并且不是安全,并且我没有找到使它们如此的设置。