我有一个由Microsoft ISA设置的cookie。我想检查ColdFusion中是否存在cookie,但cookie未在cookie范围中列出。我正在尝试从中读取cookie值的页面使用的是HTTPS。为什么我不能读取cookie?所有非安全cookie都列在cookie范围内。
答案 0 :(得分:2)
如果Cookie的域值是由其他域设置的,那么您的Web应用程序无法读取它。
如果www.attackerwebsite.com可以从www.yourbank.com读取会话cookie,那将是一个安全漏洞。
答案 1 :(得分:0)
我想我发现了问题。 cookie由ISA服务器创建为httpOnly。这是否意味着访问cookie的唯一方法是从创建它的服务器?
答案 2 :(得分:0)
明确的答案:ISA服务器位于客户端和Web服务器之间,它抓取cookie并且不放手。我可以通过ColdFusion从不在ISA服务器后面的域上的任何计算机访问cookie。因此我提出的解决方案是通过JSONP AJAX调用获取cookie值到域中的另一台机器。