在ColdFusion中,从http切换到https后是否需要重新建立会话令牌?
CFID、CFTOKEN和jsessionid值的组合支持ColdFusion会话。当第一次点击cfm页面时,将建立这些值,从而创建会话 我的问题是,如果会话是在HTTP下创建的,然后单击一个链接以访问HTTPS下的登录页面,那么这些会话令牌值是否因为是在HTTP下创建的(即,它们作为请求的一部分以明文形式传递)而受损在ColdFusion中,从http切换到https后是否需要重新建立会话令牌?,coldfusion,Coldfusion,CFID、CFTOKEN和jsessionid值的组合支持ColdFusion会话。当第一次点击cfm页面时,将建立这些值,从而创建会话 我的问题是,如果会话是在HTTP下创建的,然后单击一个链接以访问HTTPS下的登录页面,那么这些会话令牌值是否因为是在HTTP下创建的(即,它们作为请求的一部分以明文形式传递)而受损 我猜,有人敏锐地嗅探公共路由器上的会话,可能会得到这些值,然后从那时起欺骗会话。我知道这肯定是一种罕见的情况,但仍然是一个问题。是的,如果您通过不安全的通道传递cookie,您的
我猜,有人敏锐地嗅探公共路由器上的会话,可能会得到这些值,然后从那时起欺骗会话。我知道这肯定是一种罕见的情况,但仍然是一个问题。是的,如果您通过不安全的通道传递cookie,您的cookie将容易被窃听和会话劫持。列在他们的会话劫持页面上。可能最简单的方法是按照invertedSpear所说的做,在成功登录后重新生成会话,一旦登录,就使用HTTPS。我不知道答案,但这应该是一件非常容易测试的事情。只需在登录页面上转储会话变量。如果它们存在,你知道它们确实会转移。在登录时销毁会话并启动新会话也不难。