那些遇到过的问题

在ColdFusion中,我需要在从http切换到https后重新建立会话令牌吗?

Tom*_*ard 3 coldfusion

CFID,CFTOKEN和jsessionid值的组合支持ColdFusion会话.首次点击cfm页面时,将建立这些值,从而创建SESSION.

我的问题是,如果SESSION是在HTTP下创建的,然后点击一个链接进入HTTPS下的登录页面,那些SESSION令牌值是否被泄露,因为它们是在http下创建的(即它们是以明文形式传递的,作为请求).

我猜测有人精明地嗅探公共路由器可能会获得这些值,然后欺骗会话.我知道,这绝对是罕见的,但仍然是一个问题.

Dan*_*ort 6

是的,如果您通过非安全通道传递它们,您的cookie将容易受到窃听和会话劫持.维基百科在其会话劫持页面上列出了一些良好的预防机制.可能最简单的方法是使用invertSpear表示并在成功登录后重新生成会话,并且一旦登录,就保持HTTPS.

归档时间:

查看次数:

397 次

最近记录:

14 年,7 月 前
相关归档
ColdFusion Layout,CFlayout,无法切换到父标签 7
ColdFusion的Duplicate函数不会复制查询的元数据 6
Coldfusion HMAC-SHA1加密 4
需要一个在三个值之间循环的切换按钮 2
使用cfqueryparam创建预准备语句的条件? 2
如何在coldfusion中使用经过身份验证的Web服务? 2
这个ColdFusion声明中的#是什么意思? 1
首先从Googles CDN加载jQuery,然后在本地服务器加载第二个 1
在Railo中将"原生数组"转换为"数组"的最快方法? 1
值1-不能转换为数字 0
难疑归档
event.preventDefault()与return false 2891
迭代字典的最佳方法是什么? 2455
什么是sleep()的JavaScript版本? 2115
INNER JOIN,LEFT JOIN,RIGHT JOIN和FULL JOIN之间有什么区别? 1602
我怎样才能存储特定文件? 1422
Node.js module.exports的目的是什么,你如何使用它? 1397
如何使用jQuery设置/取消设置cookie? 1209
URL.Combine的URL? 1186
什么是在Vim中评论/取消注释行的快速方法? 1081
如何在JavaScript中创建二维数组? 1081