我们需要确保在CF7网站所有Cookie设置为仅Http。

我们使用JSESSIONID来控制我们的会议，和JRun不会创建此为仅Http。

虽然有可能修改现有的cookie来添加此设置，我们需要把它从一开始就设定的HttpOnly。

有什么建议？

相关问题： 设置安全标志HTTPS饼干。

来源： http://www.petefreitag.com/item/764.cfm

运行CF 8或更低，使用的Application.cfc

<cfcomponent>
  <cfset this.sessionmanagement = true>
  <cfset this.setclientcookies = false>
  <cffunction name="onSessionStart">
      <cfheader name="Set-Cookie" value="CFID=#session.CFID#;path=/;HTTPOnly">
      <cfheader name="Set-Cookie" value="CFTOKEN=#session.CFTOKEN#;path=/;HTTPOnly">
  </cffunction>
<cfcomponent>

请确保您有setclientcookies =指定False。

如果使用Application.cfm

如果你还在使用Application.cfm文件，可以使用以下命令：

<cfapplication setclientcookies="false" sessionmanagement="true" name="test">
<cfif NOT IsDefined("cookie.cfid") OR NOT IsDefined("cookie.cftoken")>
   <cfheader name="Set-Cookie" value="CFID=#session.CFID#;path=/;HTTPOnly">
   <cfheader name="Set-Cookie" value="CFTOKEN=#session.CFTOKEN#;path=/;HTTPOnly">
</cfif>

首先，热烈欢迎所有的PCI DSS难民！ AppScan的，WebInspect可以，冰雹和NTOSpider逃犯也被邀请。 坐就在这里，我有蛋糕给你：

虽然为时已晚，彼得，它实际上可能有产生的JRun中HTTPOnly（和安全）从一开始就饼干，他问。 外观为jrun-web.xml的文件。 它可能会在一个目录像

C:\JRun4\servers\servername\cfusion-ear\cfusion-war\WEB-INF\ 。

你必须添加以下到cookie的配置部分 ：

<cookie-config>
    <cookie-path>/;HttpOnly</cookie-path>
</cookie-config>

如果你的网站是HTTPS，你也应该启用安全cookie的选项。 但要小心，它的服务器宽，不专用。 因此，它可能不适合你的共享环境：

<cookie-config>
    <cookie-secure>true</cookie-secure>
    <cookie-path>/;HttpOnly</cookie-path>
</cookie-config>

如果您没有在MX7或CF8卡住，有一个官方设定在CF9.01这个 Dcoldfusion.sessioncookie.httponly

我上的ColdFusion MX7测试这一点，它按预期工作。 躲开Appscan能够我做到了。

我们的目标是第一个要求是安全的（并通过扫描），所以，如果这个职位涵盖了然后它会解决这个问题。

纠正我，如果我错了，但它听起来像是你需要的，如果一个请求是通过HTTP重定向到HTTPS。 你能不能用URL重写规则抓住这个，要求在所有发送到ColdFusion的过吗？