ColdFusion 10 CFCookie不尊重域属性

时间:2013-06-19 22:22:42

标签: cookies coldfusion coldfusion-10 cfcookie

我有一个Application.cfc,其中包含以下设置:

<cfset THIS.Name = "Test01" />
<cfset THIS.ApplicationTimeout = CreateTimeSpan(1,0,0,0) />
<cfset THIS.sessionTimeout = CreateTimeSpan(1,0,0,0) />
<cfset THIS.clientManagement = false />
<cfset THIS.SessionManagement = true />
<cfset THIS.SetClientCookies = false />
<cfset THIS.setDomainCookies = false />

我试图发送以下cookie:

<cfcookie name="CFID" value="#session.CFID#" domain=".test01.domain.net" path="/" expires="never">
<cfcookie name="CFTOKEN" value="#session.CFTOKEN#" domain=".test01.domain.net" path="/" expires="never">

然而,发送到浏览器的是:

Set-Cookie: CFID=6389; Domain=.domain.net; Expires=Fri, 12-Jun-2043 22:14:17 GMT; Path=/; HttpOnly:
Set-Cookie: CFTOKEN=783fa62afecfd571%2DB1069303%2D3048%2D3344%2DAA97ADAF73598FA6; Domain=.domain.net; Expires=Fri, 12-Jun-2043 22:14:17 GMT; Path=/; HttpOnly

无论我在域或路径中放置什么值,它总是发送相同的标头。如果我尝试使用cfheader,它就不会发送任何内容。我唯一一次可以通过将SetClientCookies设置为true来发送没有域值的Cookie标头:

Set-Cookie: CFID=6391; Expires=Fri, 12-Jun-2043 22:21:38 GMT; Path=/; HttpOnly

然而,我现在不能再使用StructDeleteCFCookie来删除cookie,现在属性已过期(实际上它会创建第二组cookie)。

我的主要目标是在没有域名的情况下发送CFID和CFTOKEN cookie(或者至少没有领先时期,例如test01.domain.net)

3 个答案:

答案 0 :(得分:2)

感谢Henry,我在使用<cfset this.SetClientCookies = true>时仔细查看了CF10发送的标题,再次使用了cfheaders。 CF10省略了发送到浏览器的标题中的域值,因此我复制了发送的标题CF10并将其放入cfheader中:

<cfheader name="Set-Cookie"  value="CFID=#session.CFID#; Expires=#GetHttpTimeString(DateAdd("yyyy", 40, Now()))#; Path=/">
<cfheader name="Set-Cookie"  value="CFToken=#session.CFToken#; Expires=#GetHttpTimeString(DateAdd("yyyy", 40, Now()))#; Path=/">

Lo'并且看到浏览器收到cookie而域名值没有领先期。我还设法使用以下代码使这些cookie过期:

<cfheader name="Set-Cookie"  value="CFID=#session.CFID#; Expires=#GetHttpTimeString(Now()-1)#; Path=/">
<cfheader name="Set-Cookie"  value="CFToken=#session.CFToken#; Expires=#GetHttpTimeString(Now()-1)#; Path=/">
<cfset StructClear(session)>
<cflocation url="/" addtoken="no">

在Chrome浏览器中使用url变量测试该代码块时,Chrome会发出一个HTTP请求,只需在地址栏中输入?ResetSen时会发出第二个请求,这是唯一的怪癖我点击进入。这将导致奇怪的事情,例如跳过CFID(7249 - > 7251)或仅发送两组cookie(过期:无限期和过期:现在)。

没关系,真正的问题似乎是未过期的到期时间(同一秒内的两个请求),我将该部分更改为#GetHttpTimeString(Now()-1)#,这是过去的一天,而且似乎持续了。< / p>

原来这个:

<cfheader name="Set-Cookie"  value="CFID=#session.CFID#; Domain=test01.domain.net;Expires=Sat, 04-Jul-2043 13:24:38 GMT; Path=/">
<cfheader name="Set-Cookie"  value="CFToken=#session.CFToken#; Expires=Sat, 04-Jul-2043 13:24:38 GMT; Path=/">

发送此信息:

Set-Cookie: CFID=7191; Domain=test01.domain.net; Expires=Sat, 04-Jul-2043 13:24:38 GMT; Path=/
Set-Cookie: CFToken=33b984d7a56f6356-0B97F3CF-3048-3344-AABF2B698F4B8B02; Domain=test01.domain.net; Expires=Sat, 04-Jul-2043 13:24:38 GMT; Path=/

浏览器收到的是.test01.domain.net,这是我想要避免的。

答案 1 :(得分:1)

是的,通过将任何域值剥离到<cfcookie>,似乎.domain.tld似乎做得太多了。请参阅:why doesn't cfcookie allow setting domain= to a subdomain for CFID/CFTOKEN?

我不确定原因,但解决方法是使用<cfheader>

答案 2 :(得分:-1)

为了修改代码中的会话cookie,您应该在Application.cfc伪构造函数中添加以下内容:

<cfset this.sessioncookie.disableupdate = false>

这也可以在CF管理员的“内存变量”部分的服务器级别进行控制。

相关问题
最新问题