Bluemix生成一个目前不安全的VCAP_ID cookie(见下文)。有没有办法可以强迫它安全?有没有理由不让它安全?
设置Cookie:的 VCAP_ID = [删除];路径= /;仅Http
VS
设置Cookie:的 VCAP_ID = [删除];路径= /;仅Http;安全
答案 0 :(得分:2)
不,这是由Bluemix内部设置的。我们可以把它带回开发团队,以使cookie安全。
答案 1 :(得分:1)
以下是我在cloudfoundry文档的HTTP Sessions Not Persisted or Replicated部分中找到的内容:
如果使用jsessionid cookie,Cloud Foundry支持对应用程序的传入HTTP请求的会话关联或粘性会话。如果在Cloud Foundry上运行多个应用程序实例,则来自给定客户端的所有请求都将路由到同一应用程序实例。这允许应用程序容器和框架存储特定于每个用户会话的会话数据。
此粘性会话通过名为 __VCAP_ID_ 的Cookie进行跟踪,请参阅cloudfoundry/gorouter/proxy/proxy.go
结帐cloudfoundry/gorouter/proxy/setupStickySession()
设置此cookie的配置是私有方法,这意味着它在代理内部决定。唯一可变部分是maxAge和Path,这意味着它使用JSESSIONID Cookie的__VCAP_ID_ Cookie的maxAge / Path。
我很好奇为什么Secure不属于此类。相反,在gorouter中创建代理时决定。我已创建issue 99来跟踪此情况,因为它应该与JSESSIONID一样安全。