Internet explorer 登录和session.isLoggedIn变量并不总是创建的
我有一个id和密码的用户登录页面。这将传递到我的身份验证文件,该文件为用户执行标准查找。成功登录将创建会话变量isLoggedIn和带有概要文件相关数据的userStruct,然后继续进入欢迎屏幕。欢迎屏幕中有一个cfinclude,用于检查会话变量isLoggedIn是否定义为所有页面中的情况。如果isLoggedIn不存在,用户将重定向回登录。 这在过去的两年中一直运行良好,但在内部扫描发现以下Adobe安全问题后 1.Adobe ColdFusion 8.0、8.0.1、9.0和9.0.1中的CSRF漏洞 2.管理员控制台中的XSS漏洞 我应用了安全补丁 我们还将Firefox升级到了v.6版——尽管问题也出现在IE中 现在,由于某些原因,并且没有一致性,如果您尝试登录,它将返回登录屏幕。我已经追踪到上面提到的会话变量的检查。我已经检查了数据库,它显示用户上次登录的时间已经更新,以反映尝试登录。但是,由于某些原因,没有创建会话变量。 如果清除浏览器缓存并重新启动浏览器,将允许您按预期登录,但一段时间后问题再次出现。 我可以在星期六登录,但星期一无法登录。我清除了缓存并可以登录。星期二我没有问题——一整天都有成倍的登录。然后今天早上它回来了,我无法再次登录 出于测试目的,我对安全补丁进行了回滚,问题消失了,但显然我不能让它保持这种状态。我重新应用了补丁,问题一次又一次地返回,没有一致的模式Internet explorer 登录和session.isLoggedIn变量并不总是创建的,internet-explorer,firefox,coldfusion,session-variables,Internet Explorer,Firefox,Coldfusion,Session Variables,我有一个id和密码的用户登录页面。这将传递到我的身份验证文件,该文件为用户执行标准查找。成功登录将创建会话变量isLoggedIn和带有概要文件相关数据的userStruct,然后继续进入欢迎屏幕。欢迎屏幕中有一个cfinclude,用于检查会话变量isLoggedIn是否定义为所有页面中的情况。如果isLoggedIn不存在,用户将重定向回登录。 这在过去的两年中一直运行良好,但在内部扫描发现以下Adobe安全问题后 1.Adobe ColdFusion 8.0、8.0.1、9.0和9.0.1
有人有什么想法可以传递吗?听起来和你描述的不完全一样,但这里的情况是否详细——有什么关联?首先感谢大家的反馈 我相信我已经发现了这个问题: 当用户尝试登录时,我的身份验证页面会进行多次检查-pwd检查、pwd过期chk等。如果这些chk中的任何一个失败,我将使用CFLOCATION标记和URL参数 如果所有检查都通过,则设置一个会话变量,后跟一个CFLOCATION标记 长话短说-根据上面提到的帖子-我相信我正好陷入了场景1
我已经更新了代码并删除了CFLOCATION标记是因为没有创建session.isloggedIn变量,还是因为会话在过程中不知何故丢失了,并且正在创建一个没有变量的新会话?这是一个好问题。我也得检查一下。我必须承认,我发现的第一件东西是我吓了一跳。当屏幕返回到登录页面时,我进去检查变量是否存在。所以我只是假设是这样-你知道他们怎么说假设的。老实说,我发现很难相信现代的ColdFusion版本仍然存在这个问题。那篇文章是关于ColdFusion的,它至少是10亿年前的一篇完全重写的文章。如果,事实上,它确实解决了你的问题,那就太好了,但我真的怀疑这是另外一回事。